アカウント名:
パスワード:
今すぐに広範囲に普及させることはできないけど,パスワードの「ユーザビリティ」を向上させるよりはできればパスワード以外の認証方法をとりたいな.
クライアント証明書とか,スマートカードとか,鍵ファイルとか,ずいぶん昔からあるけど広範囲に使われているとは言い難いよね.
ウェブサービスが個別にそういった認証方法をサポートするのは難しいだろうから,やはりまずはOpenIDのような認証プロバイダの利用が広がってからということになるだろうか.
クライアント証明書とか,スマートカードとか,鍵ファイルとか
クライアント証明書の普及は難しいね。直感的でないから。スマートカードや鍵ファイルと組み合わせると少しだけマシになるけど、十分とは言えない。
パスワードは、昔から使われている合言葉からのアナロジーで理解することができるけど、公開鍵認証はそういう説明は難しい。実際、/.Jのユーザでも、正確にその仕組を説明できる人がどれだけいるか。IT部門の中ですら、いまだにSSHを使わずにTELNETとFTPのまま、ってとこも少なくないんじゃないかな?SSHクライアントをインストールできないならともかく、TELNETにはTera Termを使っていたりしてね。
直感的というか、証明書をクライアントのユーザに周知してインストールさせるのが手間がかかるよね?どうやって証明書を配布すればセキュアなのか。それと、証明書だけだと、同じクライアントを使われたら無防備になるから、パスワードの併用は必須でしょう。何か勘違いしてるかな?
> IT部門の中ですら、いまだにSSHを使わずにTELNETとFTPのまま、ってとこも少なくないんじゃないかな?SSHクライアントをインストールできないならともかく、TELNETにはTera Termを使っていたりしてね。
さすがにそれは不合格なIT部門でしょう。SSHクライアントを一度インストールさえすれば運用の手間がかかるわけでもないし、そのTeraTermにSSHが追加されて10年以上経っているし。
クライアント証明書の面倒な点の一つは、使うクライアントマシンごとに証明書をインストールしなければならないところですかね。ちょっとマシン貸して、とかそういうわけにいかないので、覚えてさえいれば良いパスワードに比べると普通のユーザーには面倒でしかないものでしょう。過去にもクライアント証明書で利用者の認証をしようとしたネット銀行が、結局パスワード方式に改めたとかいう事例もありましたし。
これを解消するには、何らかの物理的な「鍵」 (ICカードとか) に証明書を仕込んで、それを持っていけばどこでも使えるような環境が必要だと思いますが、まだ標準と呼べそうな方式は登場していないようです。
おそらく
SSHクライアントをインストールできないならともかく、TELNETには(SSHに対応している)Tera Termを使っていたりしてね。
という意味じゃないですかね。
どうやって証明書を配布すればセキュアなのか。
クライアント証明書に関して言えば、証明書の配布と言うよりは、本人確認が問題になるね。
しかし、そんなのは大した問題じゃない。今だって、本人確認が必要なサービスは(ネット上でもネット以外でも)たくさんあるけど、それなりに解決されているんだから。
それより、ユーザが直感的に理解できないことの方が、よっぽど問題なんだよ。何故PKIでより安全になるかが理解できないから、守るべきポイントが解らない。従って使い方も解らない。使い方が解らないものは、普及もしない。
パスワードの併用は必須でしょう。
言うまでもない(訊くまでもない)ことだね。実際、大抵のX.509 PKIの実装ではそうなっている。にもかかわらず、
何か勘違いしてるかな?
と確認してしまう。それは、nmaedaさんレベルであっても、完璧に使い方が解っているわけではないことを示している。況や一般ユーザをや。やっぱり問題はそこなんだよね。
さすがにそれは不合格なIT部門でしょう。
その通り。ただ、安全が確保されたネットワーク内であれば、TELNET+FTPって判断はまったく間違いってこともないかもよ。SSHを使ってても、パスワード認証って場合も多いと思うし。
いずれにせよ、言うのは簡単だけど、組織的にやるのは難しいってこともあるんだよ。
> > 何か勘違いしてるかな?> と確認してしまう。それは、nmaedaさんレベルであっても、完璧に使い方が解っているわけではないことを示している。
どう見ても反語表現ですよ。
反語表現ってのは例えば、#1594907 [srad.jp]の
が、
どう見ても反語表現
等と言い切れるだろうか?(いや、言い切れはしない)…という風に使うものです。まあ、反語である可能性が0%とは言いませんが、「どう見ても」と断定できるものではないでしょう。
仮に反語表現であったとすると、nmaedaさんは、その反語表現により自分の意見の正しさを断定していた、ということになりますが、私が#1594942 [srad.jp]で指摘した通り、
クライアント証明書に関して言えば、証明書の配布と言うよりは、本人確認が問題になる
のですから、その反語表現による断定は間違っていたことになります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
できればパスワード以外の方法をとりたい (スコア:3, 興味深い)
今すぐに広範囲に普及させることはできないけど,
パスワードの「ユーザビリティ」を向上させるよりは
できればパスワード以外の認証方法をとりたいな.
クライアント証明書とか,スマートカードとか,
鍵ファイルとか,ずいぶん昔からあるけど
広範囲に使われているとは言い難いよね.
ウェブサービスが個別にそういった認証方法を
サポートするのは難しいだろうから,やはりまずは
OpenIDのような認証プロバイダの利用が広がってから
ということになるだろうか.
屍体メモ [windy.cx]
Re:できればパスワード以外の方法をとりたい (スコア:1)
クライアント証明書とか,スマートカードとか,鍵ファイルとか
クライアント証明書の普及は難しいね。直感的でないから。スマートカードや鍵ファイルと組み合わせると少しだけマシになるけど、十分とは言えない。
パスワードは、昔から使われている合言葉からのアナロジーで理解することができるけど、公開鍵認証はそういう説明は難しい。実際、/.Jのユーザでも、正確にその仕組を説明できる人がどれだけいるか。
IT部門の中ですら、いまだにSSHを使わずにTELNETとFTPのまま、ってとこも少なくないんじゃないかな?SSHクライアントをインストールできないならともかく、TELNETにはTera Termを使っていたりしてね。
Re:できればパスワード以外の方法をとりたい (スコア:2)
直感的というか、証明書をクライアントのユーザに周知してインストールさせるのが手間がかかるよね?どうやって証明書を配布すればセキュアなのか。
それと、証明書だけだと、同じクライアントを使われたら無防備になるから、パスワードの併用は必須でしょう。
何か勘違いしてるかな?
> IT部門の中ですら、いまだにSSHを使わずにTELNETとFTPのまま、ってとこも少なくないんじゃないかな?SSHクライアントをインストールできないならともかく、TELNETにはTera Termを使っていたりしてね。
さすがにそれは不合格なIT部門でしょう。SSHクライアントを一度インストールさえすれば運用の手間がかかるわけでもないし、そのTeraTermにSSHが追加されて10年以上経っているし。
Re:できればパスワード以外の方法をとりたい (スコア:2)
クライアント証明書の面倒な点の一つは、使うクライアントマシンごとに証明書をインストールしなければならないところですかね。ちょっとマシン貸して、とかそういうわけにいかないので、覚えてさえいれば良いパスワードに比べると普通のユーザーには面倒でしかないものでしょう。過去にもクライアント証明書で利用者の認証をしようとしたネット銀行が、結局パスワード方式に改めたとかいう事例もありましたし。
これを解消するには、何らかの物理的な「鍵」 (ICカードとか) に証明書を仕込んで、それを持っていけばどこでも使えるような環境が必要だと思いますが、まだ標準と呼べそうな方式は登場していないようです。
Re:できればパスワード以外の方法をとりたい (スコア:1)
おそらく
SSHクライアントをインストールできないならともかく、TELNETには(SSHに対応している)Tera Termを使っていたりしてね。
という意味じゃないですかね。
Re:できればパスワード以外の方法をとりたい (スコア:1)
どうやって証明書を配布すればセキュアなのか。
クライアント証明書に関して言えば、証明書の配布と言うよりは、本人確認が問題になるね。
しかし、そんなのは大した問題じゃない。今だって、本人確認が必要なサービスは(ネット上でもネット以外でも)たくさんあるけど、それなりに解決されているんだから。
それより、ユーザが直感的に理解できないことの方が、よっぽど問題なんだよ。何故PKIでより安全になるかが理解できないから、守るべきポイントが解らない。従って使い方も解らない。使い方が解らないものは、普及もしない。
パスワードの併用は必須でしょう。
言うまでもない(訊くまでもない)ことだね。実際、大抵のX.509 PKIの実装ではそうなっている。にもかかわらず、
何か勘違いしてるかな?
と確認してしまう。それは、nmaedaさんレベルであっても、完璧に使い方が解っているわけではないことを示している。況や一般ユーザをや。やっぱり問題はそこなんだよね。
さすがにそれは不合格なIT部門でしょう。
その通り。ただ、安全が確保されたネットワーク内であれば、TELNET+FTPって判断はまったく間違いってこともないかもよ。SSHを使ってても、パスワード認証って場合も多いと思うし。
いずれにせよ、言うのは簡単だけど、組織的にやるのは難しいってこともあるんだよ。
Re: (スコア:0)
> > 何か勘違いしてるかな?
> と確認してしまう。それは、nmaedaさんレベルであっても、完璧に使い方が解っているわけではないことを示している。
どう見ても反語表現ですよ。
Re:できればパスワード以外の方法をとりたい (スコア:1)
反語表現ってのは例えば、#1594907 [srad.jp]の
何か勘違いしてるかな?
が、
どう見ても反語表現
等と言い切れるだろうか?(いや、言い切れはしない)…という風に使うものです。まあ、反語である可能性が0%とは言いませんが、「どう見ても」と断定できるものではないでしょう。
仮に反語表現であったとすると、nmaedaさんは、その反語表現により自分の意見の正しさを断定していた、ということになりますが、私が#1594942 [srad.jp]で指摘した通り、
クライアント証明書に関して言えば、証明書の配布と言うよりは、本人確認が問題になる
のですから、その反語表現による断定は間違っていたことになります。
Re: (スコア:0)
これにすると、複雑なパスワードを考え直す苦労からもある程度開放されていいですよね。手元で何かされれば終わりだけど、ネット経由でアタックされる回数はぐっと減る。
鍵の発行手順なんてツール作ってしまうかUSB鍵でも配ればいいんじゃないかと。ブラウザには発行手順が組み込まれてるものもあった気がする。
メールはフィッシングがどれだけ横行しても、どこの企業もWeb程セキュリティには関心がないようですね。