1:FIDO(Fast IDentity Online)
オンラインサービスやクライウドサービウスのユーザ認証に、ユーザのスマートフォンの生体認証機能(指紋認証、顔認証)を利用する方式をFIDOと言います。パスワードの入力を省略することができるので、ユーザにとって使いやすい認証方式です。
FIDOでは、最初に、スマートフォンで生体認証(指紋認証や顔認証)を行います。認証に成功したら、スマートフォン内の秘密鍵でディジタル署名を生成して、そのディジタル署名をオンラインサービスやクラウドサービスのサーバに送信し、ユーザ認証を受けます。
2:ICカードによる認証
ICカードを利用した認証は、今日利用されています。ICカードをICカードリーダに読み込ませて、本人確認します。ICカードを所有していることが、本人であることの証明になります。
正規のICカードには、秘密の情報(共通鍵や秘密鍵)が登録されています。ICカードをICカードリーダに挿入する(タッチする)と、ICカードリーダは、ICカードが秘密の情報を持っていることを確認します。また、ICカードを拾った第三者が不正にICカードを利用することを防ぐためには、PINと呼ばれる暗証番号をつけて、PINを知らない人には、ICカード内の秘密の情報を使えないようにロックしておきます。
ICカードを分解して、内部の電気回路の動作を計算機器で測定したりして、ICカード内の秘密の情報を盗み出す攻撃が行われることもあります。したがって、ICカードは、このような攻撃に対しての耐性を持っていなくてはなりません。この耐性を耐タンパ性と言います。
「アンチパスバック」
近年、入室時と退出時にICカードを用いて認証を行い、入退室を管理するシステムが広く利用されています。この時に、
・入室時の認証記録がない時には、そのICカードでの退出を許可しない。
・退出時の認証記録がない時には、そのICカードでの入室を許可しない。
というコントロールを行うことも多いです。このようなコントロール方式をアンチパスバックと言います。
3:多要素認証と多段階認証
エンティティ認証は、知識(パスワード)、生体情報(指紋、顔など)、所有物(ICカード)を確認することによって行います。これらの要素を複数組み合わせて認証を行う方法を多要素認証と言います。例えば、パスワードと指紋(生体情報)を組み合わせて認証を行う方法は多要素認証でエス。2つの要素で多要素認証を行う場合は、特に、二要素認証(ディアルファクタ認証)と違います。
一方、第一パスワードで認証が完了するおt、第2パスワードによる認証を行うという方式もあります。2回ともパスワード(知識)による認証を行いますので、多要素認証とは言えません。このように、何段階かにわたって認証を行う方式は多段階認証と言います。
4:CAPTCHA
機械では、判別しにくい歪んだ文字の画像を表示して、同じ文字を入力させたり、提示した写真に写っている物体と同じ物体を選ばせたりして、人間が操作していること、すなわち、プログラムによる自動処理でないことを確認する仕組みです。
5:シングルサインオン(SSO)
ファイルサーバにある文書ファイルにアクセスするためには、ファイルサーバにログインする必要があります。グループウェアで会議室の予約をするためには、グループウェアサーバにログインしなくてはなりません。電子メールを受信するためには、メールサーバにログインが必要です。
このように、通常の利用では、異なったサーバにアクセスするたびに、ユーザIDとパスワードを入力してユーザ認証を受ける必要があります。
しかし、何かのサービスを利用するたびに、ユーザIDパスワードを入力することは面倒です。シングルサインオン(SSO)は、一度、認証サーバで認証を受ければ、その後は、各サーバでの認証を不要とする仕組みです。SSOを実現するための代表的な仕組みには、Kerberos認証やSAML(Security Assertion Markup Language)があります。Kerberos認証は、LAN内でのSSOに利用されています。SAMLは、XML形式で認証情報をやり取りすることから、Web技術(HTTP/HTTPS)との相性がよく、オンラインショッピングサイトなどのウェブアプリケーションでのSSOに利用されています。