情報セキュリティ対策|ダイジェスト認証、CAPTCHAについて

ダイジェスト認証、CAPTCHAについて

BASIC認証、フォーム認証とご紹介してきました。

今回は、その他マイナー(?)な認証方法をご紹介します。

チャレンジレスポンス認証(ダイジェスト認証)とは

チャレンジレスポンス認証、別名「ダイジェスト認証」と呼ばれるものがあります。

これは、利用者の認証にハッシュ値を用いる方法で、Webブラウザの機能に依存した方法です。

ログインを要求してきた利用者に対し、
サーバーは「チャレンジ」という文字列を送信します。
受け取った利用者側では、その「チャレンジ」と、入力したパスワードを使ってハッシュ値を計算します。
その解答をサーバーに送り、サーバー側でも同じハッシュ値計算を行って解答が一致するかどうかを確かめるのです。

このようにすることで、通信する際にログイン情報を流すことがありません。
SSL通信が使えない場合、この「ダイジェスト認証」が有効と言われています。

CAPTCHAとは

CAPTCHA(キャプチャ)と呼ばれる認証方式もあります。
これは目にすることが多いかもしれませんが、
グニャグニャの文字や写真を打ち込むことで、それがロボットではなく人間であることを確かめるものです。

ログイン画面への攻撃は日常茶飯事で、およそ人間がカタカタやっているわけではなく、ロボット(コンピューターのプログラム)で機械的に何回も何回も入力を試すようになっています。

このような機械的な作業を弾く目的で、CAPTCHAは採用されます。
昨今、ディープラーニングによって画像解析の精度も上がってきたということで、
単なる数字ではパターンが破られてしまう風潮になっています。
ひらがなであれば日本語だけである分リスクは下がりますし、看板や店といった、「人間でしか判断できない」写真などが題材になることが多くなってきました。

以上、チャレンジレスポンス認証(ダイジェスト認証)とCAPTCHAという認証方式についてご紹介しました。