シングルチャネルモード 概 要 シングルチャネルモードは Swivel 認 証 システムの 最 も 一 般 的 な 導 入 方 法 の 一 つです このモー ドでは ユーザーがチャレンジ ( セキュリティストリングス ) を 受 け 取 るのと 同 じチャネル ( 通 信 経 路 ) を 使 ってレスポンス ( ワンタイムパスワード ) を 送 ります 本 ホワイトペーパーは このアプローチの 柔 軟 性 について 概 観 した 上 で 管 理 コンソールから あるいは html 認 証 ダイアログのカスタマイズによって 実 現 可 能 ないくつかのオプションにつ いてご 説 明 します
はじめに シングルチャネルモードは Swivel 認 証 システムの 最 も 一 般 的 な 導 入 方 法 の 一 つです こ のモードでは ユーザーがチャレンジ ( セキュリティストリングス ) を 受 け 取 るのと 同 じ チャネル ( 通 信 経 路 ) を 使 ってレスポンス ( ワンタイムパスワード ) を 送 ります このモードは 通 常 はブラウザー 上 の 認 証 ダイアログに TURing イメージを 表 示 する 方 法 で 利 用 されます このアプローチには 以 下 の 様 な 多 くのメリットがあります 配 備 ( 導 入 ) が 簡 単 利 用 が 簡 単 ( 使 いやすい ) 表 示 方 法 や 入 力 方 法 を 非 常 に 柔 軟 にカスタマイズできる 本 ホワイトペーパーは このアプローチの 柔 軟 性 について 概 観 した 上 で 管 理 コンソー ルからあるいは html 認 証 ダイアログのカスタマイズによって 実 現 可 能 ないくつかのオプ ションについてご 説 明 します 全 ての 認 証 フォームにおいて 必 須 とされるのは Swivel のチャレンジを 表 示 してユーザーからの 入 力 を 受 け 付 けることだけです そのため この アプローチは 非 常 に 柔 軟 で 多 様 な 導 入 形 態 に 対 応 できます TURing Image 最 も 一 般 的 な 実 装 方 法 は ログイン 画 面 にセキュリティストリングスのイメージを 表 示 す るものです これは 認 証 のために Swivel サーバーに 接 続 するログインフォームに html を 埋 め 込 むことで 実 現 できます このオプションのデフォルトは TURing イメージです 図 1: TURing イメージ このとき 異 なる 背 景 色 や 枠 線 を 選 んでイメージに テーマ を 適 用 する 事 ができます ( 例 えば 背 景 色 をモノクロにするなど ) 異 なるフォントやバックグラウンドを 使 うことにより TURing イメージは OCR 攻 撃 に 対 して 防 御 力 を 高 めることができます この 他 イメージの 防 御 力 を 高 めるためには 以 下 の 様 な 方 法 があります 同 じストリングスに 対 して 異 なるフォントを 使 う 文 字 をジグザグに 配 置 して 横 一 列 に 並 ばないようにする 文 字 の 太 さを 変 える ( アルファモード )
BUTton TURing のオプションとして セキュリティストリングスのイメージを 2 次 元 のパターン で 表 示 する 様 々な 方 法 があります 図 2 が BUTton レイアウトの 例 です 2 次 元 の 配 列 に はユーザーが PIN を 覚 えやすくする 効 果 があります 例 えば 1379 という PIN を 設 定 し たユーザーであれば Z のパターンとして 覚 えることもできます 異 なるバックグラウンド フォントを 使 ったオプションもあります 図 2: BUTton 配 列 のセキュリティストリングスの 例 アニメーション その 他 のオプションとしては イメージのアニメーションがあります TURing イメージ のアニメーションを 行 う 主 な 理 由 は スクリーンキャプチャタイプの 攻 撃 に 対 抗 するため です セキュリティストリングスのキャラクターを 点 滅 させるようにして どの 一 瞬 にも 一 部 の 文 字 しか 表 示 されないようにすれば スクリーンショットをとっても 一 部 の 文 字 列 しか 取 得 できません サンプルレートの 低 いビデオにも 同 様 の 効 果 が 期 待 できます アニメーションの 設 定 は Swivel 管 理 コンソールから 行 うことができ 以 下 のようなオプ ションを 設 定 できます アニメーションパターン 一 度 に 表 示 する 文 字 数 アニメーションのループ 回 数 図 3: ジグザグ 配 置 でアニメーションする TURing イメージ
カスタマイゼーション 本 ホワイトペーパーでは 基 本 的 には そのまま 使 える オプションを 紹 介 していますが これらのイメージをどう 表 示 するかをお 客 様 が 細 かく 設 定 することもできます フォントおよびバックグラウンド 全 てのイメージで 使 用 されるフォントおよびイメージは Swivel サーバー 上 のセットリス トからランダムに 選 ばれます さらに サーバーが 用 意 したフォントおよびバックグラウ ンドに 制 限 されずに 自 分 でそれらをアップロードして 使 うこともできます マスク その 他 カスタマイズが 可 能 な 要 素 としてはマスクがあります これはイメージ 全 体 の 形 を 決 めるものです TURing イメージについては マスクは 基 本 的 にはフレーム ( 長 方 形 ) で フレームに 様 々な 色 を 割 り 当 てることができます その 他 のタイプのイメージについては マスクは 全 体 の 形 だけでなく ボタン の 大 き さや 配 置 を 決 めることができ イメージをどのようにユーザーに 見 せるかを ほぼ 無 限 に 設 定 できます PINpad PINpad のオプション 設 定 は 上 記 とは 違 ったアプローチです セキュリティストリングス が 単 一 のイメージでなく 10 個 の 独 立 したイメージとして 表 示 されるからです これら のイメージが 認 証 フォームと 統 合 され ランダムに 配 置 された 文 字 盤 として 表 示 されます 何 故 この 様 なアプローチがとられるかというと PINpad はユーザーが 覚 えている PIN の 配 置 に 従 ってボタンをクリックすることによって 正 しいワンタイムパスワードを 入 力 で きるようになっているからです これによりキーロガーによる 攻 撃 に 対 抗 すると 同 時 に 新 しいユーザー 体 験 を 提 供 します 図 4: PINpad
タスクバークライアント ブラウザ 上 にイメージを 表 示 させないオプションが Swivel タスクバークライアントです これはシンプルなソフトウェアで ブラウザ 内 からセキュリティストリングスを 要 求 して イメージを 取 得 するのと 同 じ 機 能 を 持 っています 図 5: タスクバークライアントの 例 この 方 法 の 欠 点 は 全 てのユーザーにクライアントを 配 布 しなければならないことです しかし 同 時 に ブラウザ 上 にセキュリティストリングスのイメージを 表 示 する 必 要 が 無 く なりますから man-in-the-browser に 対 しての 防 御 が 可 能 です フォームのカスタマイゼーション セキュリティストリングスの 取 り 扱 いとログインページでの 表 示 方 法 を 変 えることによ り ユーザー 体 験 をさらにカスタマイズすることができます PINpad 以 外 のイメージについては 適 切 な html ファイルを 組 み 込 むことによってイメー ジを 表 示 させることができます <img src= http://<swivel_ip:port>/proxy/scimage?username=<username> これは ユーザー 名 を 読 み 込 んで 動 的 に html ファイルを 作 り 出 すような JavaScript を 作 っ て 組 み 込 むことによっても 実 現 できます 以 下 の 様 に ログインフォームに JavaScript の 機 能 ( 例 えば showturing など ) を 呼 び 出 すボタンを 付 けて 呼 び 出 すことなどです <input type='button' onclick='showturing()' value=' Get Image' /></td> 上 記 以 外 のやりかたでも 同 様 のことができます 例 えば ユーザー 名 フィールドに onblur プロパティを 使 えば フォーカスが 外 れている 間 特 定 のイメージを 表 示 させる ことができます <input type="text" id="username" onblur=ʼshowturing()ʼ>
PINpad PINpad は 10 個 の 独 立 したイメージによって 構 成 されており ログインフォームによっ てどのような 配 列 を 作 り 出 すことも 可 能 です 例 えば 以 下 の 様 に 単 純 な 表 を 作 って 表 示 するなどです <table> <tr> <td>username</td><td><input type="text" id = "username" onblur=showstring();></ Input></td></tr> <tr> <td colspan =2> <table> <tr> <td onclick=addotc("1")> <img id="1"></img> </td> <td onclick=addotc("2")> <img id="2"></img> </td> <td onclick=addotc("3")> <img id="3"></img> </td> showstring 機 能 が 適 切 に 配 置 を 行 います
ワンタイムパスワードの 入 力 ユーザーがどのようにワンタイムパスワードを 入 力 するかについても 細 かく 設 定 するこ とができます TURing や PATtern などについては デフォルトではキーボードからの 入 力 を 想 定 していますが PINpad では ユーザーが PIN をクリックによって 入 力 します しかし 入 力 方 法 はそれらに 限 定 されているわけではありません PINpad で 設 定 できるひとつのバリエーションは PIN をクリックする 代 わりに 特 定 の 数 値 のイメージ 上 にカーソルを 一 定 時 間 置 くことによって 入 力 させることです これは ユーザーがキーボード 入 力 やマウスのクリックを 必 要 としないため キーロガーやスク リーンキャプチャなどの 攻 撃 に 対 しても 防 御 できることが 特 徴 です ほとんどの Swivel の 実 装 形 態 において 標 準 の html/javascript を 用 いて 実 装 することができます この PINpad の 入 力 方 法 と TURing イメージによるセキュリティストリングスの 表 示 を 組 み 合 わせることが 可 能 です セキュリティストリングスを TURing イメージで 表 示 し PINpad のボタンにカーソルを 合 わせることで キー 入 力 やマウスクリック 無 しにワンタ イムパスワードを 入 力 することが 可 能 になります 結 論 シングルチャネルオプションの 考 え 方 は 非 常 にシンプルです ユーザーにセキュリティス トリングスを 含 んだイメージを 表 示 し ユーザーがそれに 対 して 適 切 な 対 応 をすることで 認 証 を 行 います 非 常 に 単 純 なモデルですが 様 々なイメージ 表 示 の 方 法 や 入 力 方 法 を 組 み 合 わせることにより お 客 様 のご 要 望 に 合 うよう 簡 単 にカスタマイズできます Security Strings 合 同 会 社 102-0082 東 京 都 千 代 田 区 一 番 町 6 番 地 相 模 屋 本 社 ビル 7F http://www.securitystrings.com/