OATH

Brian Livingstonのパスワードがなくなる - OATH

原文:http://itmanagement.earthweb.com/columns/executive_tech/article.php/3457361

パスワードがなくなる - OATH
January 11, 2005
By Brian Livingston

近い将来にパスワードがなくても今使っているセキュアサーバにアクセスできる日が来ることでしょう。実際誰もパスワードを覚えている必要がなくなるのです。

それは、あまり知られていないけれどもOATHと呼ばれる有力な組織によって静かに開発が進められているものが目指しているものです。

この組織にはIBMVerisign、Smart Card Allianceなどの強力なハイテク分野の会社が噛んでいてコンピュータやネットワークの使い方を永久に変えようとしています。


パスワードの管理とパスワードの廃止

私の前回と前々回(12月14日と21日)のコラムではパスワードにまつわる問題を解決するためのアプローチのいくつかを見てきました:

パスワードを保存する − Pass2GoはUSBフラッシュドライブにインストールする新しいタイプのソフトウェアです。このソフトウェアではすべてのユーザ名/パスワードの組み合わせをマスターパスワードによって保護します。そしてインターネットカフェや図書館のPCのUSBポートにUSBデバイスを挿入して、マスターパスワードを入力します。しかしこの方法は完全ではありません。なぜならこれらの公衆のPCがトロイの木馬型のソフトウェアに感染していないかどうか分からないからです。もしトロイの木馬型のソフトウェアに感染していた場合、パスワードが盗まれる危険があります。

認証デバイスを携帯する − より安全性を高めるためにはVerisignやその他の会社が販売を始めたUSBキーを使うことです。これらのデバイスでは固定されたパスワードを保存しておくのではなく、必要に応じて毎回異なるワンタイムパスワードを生成するのです。さらに高度な保護を行うのであれば、サーバからUSBデバイスに対して数学的なパズルを問題として与えることも可能です。これはチャレンジ/レスポンス認証として知られており、このパズルは唯一のUSBキーにしか解けないようになっています。

1つで済ませる − 近年USBは大変身近なものになっておりUSBフラッシュドライブはキーホルダにつけて持ち運べる程小さくなっています。ですから持ち運びに困ることはありません。しかしそれぞれのアクセス用にUSBキーをいくつも持ち運ぶのでしょうか?


OATHはこれらの問題に対する答えとしてコロラド州デンバーで10月26日に30人のメンバにより技術的なコミットメントを行いました。あなたが好むと好まざるとにかかわらず彼らはパスワードを時代遅れのものにしようとしています。けれどもこの組織が目指しているものは息を飲むようなものだと感じるでしょう。


完全なるパスワード廃止

"固定のパスワードを廃止したい"とOATHのBob Blakley議長は言う。"認証に関わる問題は従来のクライアントコンピュータから離れてより個人に密着したより小さいデバイスに移行してきている。それは多分USBトークンや携帯電話、腕時計なのかもしれない"

彼はセキュリティとプライバシを専門とするIBMの科学者でOATHの創立メンバの一人でもある。彼はインターネットを含むネットワークは2要素認証(物理的な物の所有とパスワードなどの併用)が確立しない限り安全に使用することができないと信じるようになった。

"ひとつ目の要素は物理的な物で、もしなくなればすぐ気がつくものです" 例えばキーホルダや携帯電話。"ふたつ目は毎回異なる何かです" これは固定パスワードでは推測されたり盗み見されたりするからです。これに関してはポケットサイズでサーバからの難問に答えられるような電子機器がたくさんあります。


ひとつの問題を解決するためのいろいろな方法

ワンタイムパスワードが扱えるだけのメモリを持つデバイスチェレンジ/レスポンス認証が使えるスマートカードやポケットPCやPalmなどのPDA、などなど。

けれども多くの消費者がこれらのデバイスを持ち歩くことはないでしょう。2要素認証は必ずしもUSBフラッシュドライブなどの安いデバイスに流れるとも既に普及しているスマートフォンなどになるとは言えません。

トロントの開発会社Diversinetのセキュリティ担当のStu VaethはUSBキーと高機能携帯電話に入れられるほど小さいソフトウェアの開発に携わっています。OATH技術委員会のメンバとしてグループの最初の功績を達成しました:10月にワンタイムパスワードの計算の正式な標準を出版したことです。

Vaeth は言います。"要はサーバ側とクライアント側でアルゴリズムを共有することです。"

VaethによればDiversinetが開発したソフトウェアの現行バージョンでは、OATH推奨のワンタイムパスワード標準を実現するのに必要なディスクスペースはインストールで64から128KB、実行時で45KBという量に抑えられています。これは現在の標準的な携帯電話の記憶容量より多いですが、スマートフォンPDA、USBドライブにとっては十分に少ない量です。

ハッカーがいくら盗み見てもワンタイムパスワードは何の役にも立ちません。多分ワンタイムパスワードはOATHのビジョンのうち最初に広く受け入れられるものになるでしょう。しかしVaethはOATHが検討しているそれ以外のアプローチについても近くインターネットの標準として正式に申し出ることにしています。これらのアプローチにはチャレンジ/レスポンス認証、PKI、デジタル署名などを含みます。

OATHのメンバはこれらのスキームのすべてが、標準に準拠したデバイスを使って誰でも認証を受けることができるようになると信じています。つまりあなたはたくさんのデバイスを持ち歩かなくて良いのです。たった一つで済むわけです。


決論

OATHの提案がもし全部採用されたとしたら、一般エンドユーザのネットワークの使い方は大きく変わるでしょう。

しかし、この大きな変化が必要なのかもしれません。悪意に満ちたハッカーの攻撃が広く行われ、なりすましがはびこり、消費者と企業を混乱させています。USBキーや携帯電話に小さな認証プログラムをインストールすることはちょっと面倒なことですがパスワードを覚えていなくてもよいことを多くの人は喜ぶことでしょう。

OATHの壮大な計画についての情報は OpenAuthentication.org で。