認証要素による分類@認証¶
はじめに¶
本サイトにつきまして、以下をご認識のほど宜しくお願いいたします。
01. Form認証¶
セッションベース認証、かつCookieヘッダーによる運搬の認証スキームのこと。
トークン (IDトークン、アクセストークン) を使用する場合、Cookieヘッダーによる運搬であっても、Form認証とは言わない。
ステートフル化を行うため、HTTP認証には所属していない。
認証情報の一時的な保管は、サーバーのセッションデータで行うため、認証解除 (ログアウト) をサーバー側で制御できる。
Cookieヘッダーによる送受信では、CSRFの危険性がある。
- https://h50146.www5.hpe.com/products/software/security/icewall/iwsoftware/report/pdfs/certification.pdf
- https://auth0.com/docs/sessions/cookies#cookie-based-authentication
- https://qiita.com/toshiya/items/e7dcc7610b15884b167e#%E3%83%95%E3%82%A9%E3%83%BC%E3%83%A0%E3%81%AB%E3%82%88%E3%82%8B%E8%AA%8D%E8%A8%BC
02. TSV:Two Step Verification (二段階認証)¶
二段階認証とは¶
2個の認証方法を設定し、クライアントを照合する。
| 一段階目の認証例 | 二段階目の認証例 | 説明 | 備考 |
|---|---|---|---|
| IDとパスワード | IDとパスワード | IDとパスワードによる方法の後、別のIDとパスワードによる方法を設定する。 | |
| 秘密の質問 | IDとパスワードによる方法の後、質問に対してあらかじめ設定した回答による方法を設定する。 | ||
| SMS | IDとパスワードによる方法の後、SMS宛に送信した認証コードによる方法を設定する。 | 異なる要素のため、これは二要素認証でもある。 | |
| 指紋 | IDとパスワードによる方法の後、指紋の解析結果による方法を設定する。 | 異なる要素のため、これは二要素認証でもある。 |
03. TFA:Two Factor Authorization (二要素認証)¶
二要素認証とは¶
二段階認証のうちで特に、認証時に異なる要素の方法を使用して、段階的にクライアントを照合すること方法のこと。
| 一要素目の認証例 | 二要素目の認証例 |
|---|---|
| IDとパスワード (知識) | 事前に連携登録されたPC端末のQRコード読込アプリで発行したワンタイムパスワード (所持) |
| 事前に連携登録されたスマホ端末のQRコード読込アプリで発行したワンタイムパスワード (所持) | |
| 事前登録されたスマホ端末の電話番号のSMSで受信したワンタイムパスワード (所持) | |
| 事前登録されたスマホ端末の電話番号のSMSで受信した認証コード (所持) | |
| OAuth (所持) | |
| 指紋 (生体) | |
| 暗証番号 (知識) | キャッシュカード (所持) |
04. MFA:Multiple Factor Authorization (多要素認証)¶
多要素認証とは¶
記入中...