某所でのパスワード管理が話題になっているので、私が手元で使っているパスワードを含むクレデンシャル管理に関する要求事項の目的・脅威部分をチラ見せ。ISO/IEC 29115 ベースに、ちょびっとだけ書き加えておりますです。
9.2 クレデンシャルの検証/認証
認証フェーズにおいて重要なのは、様々な手段を組み合わせることによって適切な認証レベルを獲得することである。
9.2.1 目的・脅威
クレデンシャルの検証/認証の目的は、ユーザの身元をクレデンシャルの保有の検証をもって間接的に確認し、意図したユーザのみにサービスを提供することを可能にすることである。
この状況における脅威には以下の様なものがある。
脅威
解説
ID固定攻撃 一つのIDに対して複数のパスワードを試行してログインしようとする攻撃。 パスワード固定攻撃 一つのパスワードに対して複数のIDを施工してログインしようとする攻撃。 リスト型攻撃 何らかの方法で取得したID/passwordの組み合わせを試行してログインしようとする攻撃。 圧縮率観測攻撃 異なる文字列を送りつけて、そのレスポンスの圧縮率を観測して、秘密鍵を推測する攻撃。 タイミング攻撃 異なる暗号鍵を試し、そのレスポンスタイムを観測して鍵自体を推測する攻撃。 CSRF(パスワード投入時) スクリプトや自動転送(HTTPリダイレクト)を仕込むことによって、別のWebサイト上でパスワードを入力させ、パスワードを搾取する攻撃。 クリックジャッキング ユーザの画面に異なる画面を乗せて、ユーザを騙してクリックさせる攻撃。 フィッシング(パスワード詐取) クレデンシャル複製の一種。主体を騙して、不正なCSPに対してクレデンシャルを提示させてしまう。 盗聴 攻撃者が認証トランザクションを観測し、その後それを利用する。 リプレイ攻撃 攻撃者が認証メッセージを取得し、それを再利用する。 セッション・ハイジャック 主体が確立したセッションをハイジャックする。例:認証Cookie を盗聴して、それを使う。 中間者攻撃 主体とシステムの間に攻撃者が入り込み、通信を中継することによって、セッションを制御する。 クレデンシャル窃盗 攻撃者により盗まれたクレデンシャルを保管したデバイスを利用される。 なりすまし攻撃 生体情報などをグミ指などを使ってなりすます。
今回の件は、このうちの「パスワード固定攻撃」、またの名を「リバース・ブルートフォース」のようだ。 引用元の文書では、この後に対応するコントロールが19種類定義されており、その組み合わせで対策するようになっている。ちなみに、基本19種類全部必須。
さて、みなさん、どれだけできているかな?!
あ、あと、これも足せ、というのがあれば、ぜひ教えて下さい。
でわっ!