任意アクセス制御 discretionary access controll
→所有者にアクセス制御管理を委ねる
強制アクセス制御 mandatory access controll
→管理者が強制
セキュアOSは強制アクセス制御
→selinux等
ダウングレード攻撃
→通信主体者間で決定される暗号アルゴリズムを、脆弱なものに強制変更させる攻撃
主体認証の要素は3つあり。
知識
所持
身体的な特性
2つの要素を使った認証を2要素認証
2つ以上の要素を使った認証を多要素認証
同一要素で複数使うのは2要素認証ではない
同一要素を2回にわけて使うのが2段階認証
2段階認証より、2要素認証の方が、使う要素の種類が多いので強度は高い
2段階認証の例)パスワード認証後にメール等の確認コードで認証など。どちらも知識認証。ショートメッセージの場合は、所有認証の要素も入るので、2要素認証になる。
OOB認証
out of band認証
インターネットを使わない認証。ショートメッセージ等
インターネットのみで2要素やるよりセキュア
パスワードとパスフレーズとPINの違い
パスフレーズはパスワードより長い文字列(20文字程度)
PINはpersonal identification numberの略で、パスワードとの違いは、PINで入力した情報がネットワークを流れない点。PINを入力したデバイス内で認証される。ケースによっては、端末内部で認証され、その認証機能により生成された認証情報がネットワークを流れる事はある。
PINは上記特性から、所持の要素があり、所持と知識の2要素認証となる為の、単純なID/PW認証よりセキュアとされる
https://www.itmedia.co.jp/news/spv/1902/20/news014.html
〜引用ここから〜
ATMでキャッシュカードやクレジットカードを使う場合は、カードに内蔵されたICチップの中にあるPIN情報との照合を、ATM端末を通じて行う
この照合の結果、合致すれば端末・ICカード内のデジタルな認証情報が取り出され、その情報だけがネットワークを通じてサーバに伝達され、サーバ上で再度認証が行われる。
認証情報だけが伝達される仕組みなので、PINそのものは端末からネットワークに流出しない
〜引用ここまで〜
メモリハード関数とは?
パスワード解読の攻撃コストを高くする為のハッシュ関数
例)
https://mining.cryptech.co.jp/media/uncategorized/equihashu%EF%BC%88%E3%82%A4%E3%82%AF%E3%82%A4%E3%83%8F%E3%83%83%E3%82%B7%E3%83%A5%EF%BC%89%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0%E3%82%92%E7%9F%A5%E3%81%A3%E3%81%A6%E5%8A%B9%E7%8E%87/1435.html
Windows OSの認証
以下2つのタイプがあり。
LM(LAN MANAGER)
NTLM(NT LAN MANAGER )
共にDES(共通鍵暗号)を使って不可逆変換をしている。※仕組みは不明
NTLMv2は、hmac-md5(ハッシュ生成)も使っている。
LMはサーバーからのchallenge/responseのみ
NTLMv2はサーバーからのchallenge/responseに加え、クライアントからchallenge/responseもあり。
windows NT4.0以降はNTLMv2
レインボーテーブルとは?
あらかじめ計算済みのハッシュテーブルを用いて、高速にハッシュを解析するツール
単純なハッシュ値と平文文字列の対応表でなく還元関数という特殊な関数を利用して、対応表のサイズを圧縮している。