第69回情報処理学会全国大会 セキュリティ セキュリティ(2)
5Wで当研究室の今川君が発表を行ったので,聴講参加してきた.
興味深い発表にコメントを.
・5W-4 打鍵署名を利用したパスワード認証の強化について(中京大)
打鍵パターンを利用して,パスワード認証を強化しようっていう多要素認証.
打鍵によるパターンでよく聞かれる定番の質問がある.
「打鍵パターンはそれ程多くないので,ユーザが増えた場合,他人受容率が上がるのでは?」
まぁ.当然のように質問されていました.
定番のパターンなんだから,準備しておいたほうが良いと思う.
個人的には,環境の違いが吸収されるのかを訊きたかった.
自宅はナチュラルキーボードで,今はノートPC.
キーボードの違いで,入力パターン(リズム)はだいぶ違うと思う.
その辺の考察を聞きたかった.
・5W-5 XFW:アドレス偽造を防止したオープンスペース用ネットワークアクセスサービスの運用と評価(慶大)
学生奨励賞を受賞した発表.なんとなく釈然としない.
確かに,セッション中では最優秀の発表だったが・・・
さて,無線を使ってる場合に,認証情報が上手く送信できなかったときの話があった.
そのため,数回のミスは許容するといっていたが,サッパリ意味がわからない.
ユーザは定期的に認証情報を送るらしいのだが,その情報が秘密鍵と1つ前の認証情報をあわせたもののMD5らしい.
ちゅーことは.認証情報が送れなかったのだから,認証サーバは1つ前の認証情報を持っていないだろう.
この状態で認証が可能になるということは,送られてきた情報を無条件に受け入れるということだろうか?
説明では5回までのミスは許容されるといっていたが,それはどうだろうか?
もしも,上述のようなロジックならば,簡単に非認証者がなりすまし可能になる.
要するに,1度送信ミスをしておいて,次はでたらめな情報,その次はミスをして,その次はデタラメ・・・
これを繰り返すことで,だまし続けることが可能だろう.
あまりにも簡単すぎるので,何かしらの細工か工夫か,そもそも全然違うかだろう.
というか.セッションをTCPで張ってるなら,送れなかったことに気づくだろうに・・・
・5W-7 ネットワークプロセッサを用いたVPNの実装と評価(明大)
私の初めての原著論文の参考文献の中の人が指導教員なので,もっとしっかりして欲しかった.
セッション開始前にプロジェクタの接続確認をしておくのは,基本中の基本であって,
それを怠るような指導をしているなんて,大変ショックであります.
学生の暴走だと信じたい・・・おかげで終了時間が延びすぎ.
・5W-10 匿名データベースを利用した情報提供システムの構築(岩手県大)
CSECなどで何回か話を聞いているAnonysql.
ごめんなさい.僕の不勉強です.
いまだによくわかりません.
どの辺りで匿名が実現されているのかが,未だにわかりません.
それだけです.ごめんなさい.
総じて,学生セッションのセキュリティは面白くないです.
一般セッションもいまいち面白くないような気がします.
今回は聞きに行ってませんが.
どうしても,前提からして難しい話が飛び交うので,面白くないですよね.
というか.専門分野なのに興味が持てないってのは,領域違いなんですかね?
オレ,セキュリティ専門家じゃない方が良い??