中間者攻撃に対する脆弱性
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/07/25 07:25 UTC 版)
「SecurID」の記事における「中間者攻撃に対する脆弱性」の解説
RSA SecurIDをはじめとするワンタイムパスワードを生成するセキュリティトークン製品は、パスワード再生攻撃に対する一定の防御策を講じているが、中間者攻撃と呼ばれる攻撃モデルに対する防御策は不十分な可能性がある。ユーザーとサーバーの間の認証データフローを操作できる攻撃者を想定した中間者攻撃モデルでは、攻撃者はあたかも特定のユーザーであるかのように巧みに装い、認証情報を彼らのサーバーに転送することが理論上は可能である。その上で、もしも攻撃者が、新たな認証コードが有効になるまでの間、正当なユーザーがサーバーから認証を受けることを妨げることができれば、彼らは転送された情報を使ってログインすることができることになる。 認証サーバーは、万一二つの有効なクレデンシャルが同じ時間帯に提示された場合、いずれの認証要求も拒否することで、パスワード盗聴や同時ログインを阻止しようする。しかし、もしも攻撃者が正当なユーザーから認証を受ける能力を奪ってしまえば、認証サーバーは認証を受けようとしているユーザーが正当なユーザーだと判断し、それ以降の認証を許可してしまう。この攻撃モデルに対しては、TLSのような暗号を活用した認証機構を採用することでセキュリティ強度を改善することができる。
※この「中間者攻撃に対する脆弱性」の解説は、「SecurID」の解説の一部です。
「中間者攻撃に対する脆弱性」を含む「SecurID」の記事については、「SecurID」の概要を参照ください。
- 中間者攻撃に対する脆弱性のページへのリンク