パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ヤフーと産総研、フィッシングを防止するパスワード相互認証技術を開発」記事へのコメント

  • SSLの証明書 (スコア:0, すばらしい洞察)

    by Anonymous Coward
    >Webで利用可能な従来の認証技術としては、パスワードを暗号化して送受信する
    >SSLのクライアント認証方式が挙げられるが、「この方式では、フィッシングに
    >よるパスワード詐取の対策は可能だが、事前にユーザーに電子証明書を配布する
    >必要があり導入コストが高いなどの問題があった」

    SSLの証明書買うのに躊躇するような企業のサイトに、ログインして
    個人情報を預けるほうが不安なんだがなあ。

    # とりあえず、個人情報は500円換算で債権化しときますね
    • Re:SSLの証明書 (スコア:1, すばらしい洞察)

      by Anonymous Coward
      その指摘の仕方はサーバー認証方式の話であって、SSLクライアント認証ではまた違うのでは。

      #間違ってるかもしれんので臆病者のAC
      • たぶんあってます。クライアント証明書管理するのも大変だし、安全かつ安価に大量配布する手段もないし、インストールするのは(少なくとも今の仕組みじゃ)素人にはちょっと無理っぽいし。

        クライアント証明書ほどの安全性でなくても、とりあえずユーザパスワードを事前に知らない限り認証が成立しない方式だとしたら、一見の価値はあると思いますよ。技術的に新しいかよりも、利便性と安全性のバランスの実装が肝かもね。
        • by Anonymous Coward
          > 安全かつ安価に大量配布する手段もない

          いっそ発想を転換してみるとどうだろう、と最近思います。SSL クライアント証明書の鍵配布問題を厳格に考えるのをやめにして、いっそメールで配ってしまえばどうでしょう。確かにそのメールをスニッフィングされれば(パスフレーズで保護するとしても)安全とは言えませんが、1回かぎりです。共通鍵認証で毎セッション、パスワードがやりとりされるよりはずっとマシだという考え方はありではないでしょうか。

          SSL クライアント証明書を厳格に扱いすぎるあまり、使えない状況になっているのはもったいない気がします。
          • by nisiguti (1286) on 2007年03月28日 11時50分 (#1133260)
            >いっそメールで配ってしまえばどうでしょう。

            クライアント証明書はWebブラウザに導入して初めて使えますので、
            メールで配布するというだけでは使い物にならないように思います。
            また一度導入すれば終わりではなく、定期的に証明書を更新する必要も生じます。

            それらクライアント証明書の運用に掛かる様々な費用を考慮すると、
            現時点ではクライアント証明書は安価なサービスには見合わないように思います。
            親コメント

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...