[upki-fed:238] Re: [upki-fed:231] Re: [upki-fed:228] Re: [upki-fed:206] Re: UPKIフェデレーションの属性追加について

[Toyokazu Akiyama <xxxxxxx@xxxxxxxxxxxxxxxxxx>]

京産大の秋山です

確かにログインシールは気休め程度かもしれません．
キーロガーを前提とするなら，パスワードのエントロピーチェックも同様ですね．

だとすると，PKI への移行のパスとして，認証チェーン（複数の認証ソースを多段に
選択できる）の定義や，利用した認証方式による認証レベル属性の提供（PKI なら
3，マトリックスコードなら 2，パスワードなら 1 等）などは準備しておく必要が
ありそうですね．Shibboleth 2 では提供されていましたっけ？
前半は実装していたような気もするのですが，後者はどうでしたでしょう？＞識者の方
以下のもの（FAME Shibboleth）は Shib 1.x 系のようですが．．．

http://www.computer.org/portal/web/csdl/doi/10.1109/E-SCIENCE.2006.67
http://www.computer.org/portal/web/csdl/doi/10.1109/WETICE.2005.48

OpenSSO ではこのあたりを提供しているので選択されることが多いのかも
しれません．

> ログインシールは「１０人に１人」を「１５人に１人」くらいに減らす効果はあ
> るかもしれませんが、所詮は気休め程度のものです。ログインシールが間違って
> いればおかしいと気づきますが、正しいからといって安心できるようなものでは
> ありません。手口をあからさまに書くのはどうかと思いますが一MIM攻撃に対し
> ての耐性はありません。
>
> またそもそもID/パスワードで学外からIdPへのログイン認証を許していると、イ
> ンターネットカフェからアクセスしてキーロガーに持っていかれるようなケース
> が必ずでてきます。
>
> 幸いにして学認でそのようなインシデントが起きたというような話は聞いていま
> せんが、世の中年々危険な方向に動いていますし、大学のインフラとしてのシス
> テムは一度導入したら１０年とかの長期間使われるのが常ですので、現時点です
> でに危うさが見えていることについてはあとからでも対策できるよう今のうちに
> 検討をしておくべきでしょう。
>
>
>>> 偽IdPに誘導されたら、SSLでないとかよく見ればURLが怪しいとかよく見れば気
>>> づくはずですが、少なく見積もっても１０人に１人くらいは、悩まず素直にIDと
>>> パスワードを打ち込んでしますと思います。
>>
>> 偽 IdP 対策としては，PKIに行く前にログインシールを使うという方法もありそうです．
>>
>> https://protect.login.yahoo.co.jp/
>>
>> Shibboleth って実装しないんですかね？
>
>
> %%%
>
> 本題に戻って学生証番号のようなものを属性として扱う場合の属性名やフォー
> マットを学認統一で決めてよいかですが、各大学独自にしたところでリスクの軽
> 減は微々たるものですし、よそと同じ設定をすることができず手作業の際にミス
> が入るようなリスク増も考慮すると、セキュリティ的には同レベルでしょう。あ
> とは、たとえばいろんな大学の業務を請け負うアウトソース型のSPが現れたとき
> にその運用コストのことを考えると、完全な共通仕様とまではいかなくても雛形
> くらいは決めておいたほうがいいと思います。
> --
> Yasuo Okabe
> Kyoto University
> http://www.net.ist.i.kyoto-u.ac.jp

-- 
Toyokazu AKIYAMA
Faculty of Computer Science and Engineering,
Kyoto Sangyo University
TEL/FAX: +81-75-705-1531