勉強前イメージ
主導的にレスポンスしにいくのかな?
調査
チャレンジレスポンス認証 とは
認証を行う際にパスワードなどを直接やり取りせずに認証を行うことを言います。
主に ワンタイムパスワード などの手法で使われることがあります。
チャレンジレスポンス認証では、チャレンジとレスポンスというものがあり、詳細は以下です。
- チャレンジ
サーバ側で一回しか使わない乱数を生成。
クライアントに送る。
- レスポンス
チャレンジを受け取った利用者が、パスワードとチャレンジを使って生成するもの。
サーバ側でレスポンスを送る。
また、流れは以下のようになっています。
- [クライアント → サーバ] アクセス要求
- [サーバ] チャレンジを生成
- [サーバ → クライアント] 生成したチャレンジをクライアントへ送る
- [クライアント] クライアントは受け取ったチャレンジをパスワードを使ってレスポンスを生成
- [クライアント → サーバ] 生成したレスポンスをサーバへ送る
- [サーバ] サーバ側でもDBにあるパスワードを使ってレスポンスを作成
- [サーバ] クライアントから送られてきたレスポンスと、サーバ側で作ったレスポンスを比べる
- [サーバ → クライアント] 比較した結果をクライアントへ返す
- [クライアント] 認証結果がOKであれば進められる
イメージとしては以下になります。
チャレンジレスポンスのメリット
- レスポンスが不可逆のためパスワードが解析されづらい
レスポンスは不可逆のため通信を盗聴されてレスポンスが覗かれたとしてもパスワードが解析されることは難しい
- チャレンジが古くなる
チャレンジは一度しか使われず、また一定期間経つと使えなくなるため使うことができなくなってしまう
勉強後イメージ
確かにワンタイムパスワード使うようになってきたところ多いよね。