いかがでしたか?
認証サービスに関して以下に関連するワードを改めて解説いたします。
認証サービスとは
ログインや会員登録の際に、ID/PW以外の方法で本人確認や人間であることの確認をとるサービス。SMS認証や画像認証等があります。
サービスログインのためのID/PWが何らかの理由で漏洩してしまった時や単純なID/PWを利用していて破られてしまった場合でも、もうワンクッションをおいてくれる認証サービスがあれば安心です。
ただ、認証サービスはログインID/PWとは別に認証確認をしなければいけないので、一手間余計なアクションが入り正式なユーザーにとっては煩わしさがある、サービスのログインやEC購入時などで離脱・カゴ落ちの理由になるなど、使い勝手に関しての考慮は必要になります。
今回の3匹の子豚WAF編の例で言うと、鍵で扉を解除した後にも複数の合言葉を入れて承認後にようやく扉が開くという部分が該当で、第3話のWAFでピッキング対策としてディンプルキーを導入しても鍵そのものを落としてしまった場合(現実世界ではID、PWが漏洩してしまった等)に対して有効です。
認証サービスで防ぐことができるネット上の脅威・不正アクセスの例
ブルートフォースアタック
ユーザのID/PWを解読するため、考えられる全てのパターンを試す攻撃の一種。
IDを固定してPWを考えられるパターン全て試す形でログインを試みる。
パターンは膨大になるため、BOT等と呼ばれるプログラムによって実行される。
リスト型攻撃
ユーザのID/PWを解読するため、考えられる全てのパターンを試す攻撃の一種。
ID/PWの組み合わせ(リスト)を元に、膨大なパターンを試す形でログインを試みる。
BOT等と呼ばれるプログラムによって実行される。
人手による不正アクセス
不正者が不正入手したID/PWを元にログイン等を実行する攻撃。
ID/PWはフィッシングやダークウェブでの売買等で入手して行われる。
さてさて、次の「3匹の子豚 大人も知らないインターネットセキュリティ」は「不正アクセス検知編」です。