セキュリティ

■ S/KEY

  ワンタイムパスワード認証を実現するフリーソフトウェアの1つ。
  米ベルコア社が開発したもの。以下の手順で認証を行う。

  (1) クライアントはパスフレーズとシードを連結し、
      n回のハッシュ演算を行ったものをパスワードとして、
      サーバに送付・登録する。

  (2) 次回サーバにアクセスするときには、
      (n-1)回のハッシュ演算を行った値をサーバに送る。

  (3) サーバでは、送られてきた値に対して、1回ハッシュ演算をしてみる。
      これが前回のパスワードと一致すれば、認証する。

  (4) サーバは最後に、登録されていたパスワードを、置き替える。

■ インシデント対策

  こちらを参照のこと。

以上。

2004/03/09 pm