電通大 認証処理時間10分の1 「使い捨てID」システムコスト低減
どんなアルゴリズムなのか興味あるなぁ。
実のトコ、ワンタイムID(使い捨てID)のコトをよく理解していなかったので、ちょっと調べてみたわけですが。双方向ワンタイムID認証/キーマンズネット(ユーザ登録・ログインしないと最後まで見られません)で見る限り、自分を証明する鍵・情報などは結局なにか別の媒体などでもっていないといけないので、ユーザ認証技術としては物足りなさを感じるものの、セッションが抜かれても、その時点の情報漏洩しかあり得ない部分は、後々に役立てて欲しい技術かも。
ユーザー認証はこの際置いておいて、CGIなんかのセッション認証にはよさげな考え方ぽいね>ワンタイムID
ユーザー認証情報がユーザー認証時点でしか抜けない、と言う意味で。
なんか当たり前なこと言ってる気がするが、この考え方は頭になかった。今度作るCGIに実装してみよ。
あ、えっと、片方向認証での話。
片方向使い捨てIDだと、セッションハイジャックすると、つぎのセッションのIDは抜ける感じになりそうだよな?
それでも十二分に強力だけどな
セッションハイジャックされた正規ユーザーがはじかれるとかして、再度ユーザー認証するまでセッション握れるね。一連のセッションに寿命でも作っておけばかなり強固では。ユーザー認証から一時間、とか。
でも、一番の問題はそのユーザ認証だったりするというこのもどかしさ。
やっぱり、パスフレーズ認証がいいなぁ。今は。
そればっかりはどーにも、なぁw
きっとそのうち、魔法のような量子個人認証とかできるよ、たぶんw
今の量子認証が実用化されると、ユーザ識別&認証は・・・・って、別に個人の識別と認証強度は話別なのがまた困りものなんですよねー
生体識別+パスフレーズ認証が最強じゃないのかなぁ。現時点では。