お尋ねしたいのは、この認証の安全性です。あまり知識がないため、以下のように想像しています。
・ベーシック認証だけだと、IDとPWが弱いと破られやすいので危険?
・携帯サイト用にも、Digest認証やワンタイムパスワードのような仕組みがある?
・携帯サイト用の場合、アクセス元がはっきりしているため、ある程度安全?
証券や銀行などの携帯サイトでは、厳重な認証セキュリティが課せられているのでは...と、勝手に想像しています。
「このような仕組みがあるよ」や「一般Webサイトと同じだよ」など、ある程度詳しいご回答を期待しております。私的に当を得たご回答には、50pt以上を送信いたします。「ここを見れば」のみのご回答は、お控えください。
質問自体がピント外れのような気がします。ご指摘も歓迎です。以上、よろしくお願いします。
私は携帯用サイトの専門家ではないですが、一応参考までに。
>・ベーシック認証だけだと、IDとPWが弱いと破られやすいので危険?
Basic認証は、パスワードが暗号化されずに送られるので、通信を傍受されれば「強さ」は関係ありません。「強さ」とは、暗号化がされている場合に、その暗号を解読するのに要する計算量のことですので、暗号化がされていない場合は意味がありません。
>・携帯サイト用にも、Digest認証やワンタイムパスワードのような仕組みがある?
記憶が曖昧で申し訳ないですが、携帯端末ではDigest認証は利用できなかったと思います。
>・携帯サイト用の場合、アクセス元がはっきりしているため、ある程度安全?
「安全」の定義によりますが…。
たとえば、プログラムを組んで危険なコマンドを送信したりといった可能性は低くなるでしょうが、原理的には十分可能ですので実際問題としてはPCと同じ対策を取ることになると思います。
上記のような、パスワードの盗難といった話題に関しては、インターネットを経由しているという事実は変わりませんので、PCと同じ対策が必要だと思います。
公式サイトと一般サイト(いわゆる勝手サイト)によって対応が違います。
公式サイトについては大抵通信が外部(インターネット上)にでないので、安全性はかなり高くなります。
もちろん中の人からのアクセスには対処が必要かもしれませんが、外部の不特定多数からの攻撃に比べればだいぶマシです。
一般サイトについてはあくまで途中の経路にインターネットを使用するのでその間の傍受や偽装を考えれば完全な対処は難しいです。
ベーシック認証だけだと、IDとPWが弱いと破られやすいので危険?
1番の方と同様破られるというより途中の盗聴に非常に弱いです。
つかうなら、SSLと併用すべきでしょう。
ただ、利便性の点から携帯では Basic 認証はほとんど使われていません。
携帯サイト用にも、Digest認証やワンタイムパスワードのような仕組みがある?
ありません。
携帯サイト用の場合、アクセス元がはっきりしているため、ある程度安全?
PC用のサイトよりはこれによりだいぶ安全性は高まります。
ただし、アクセス元の詐称などを行えば破られるので、完全ではありません。
なお、携帯特有の認証方式として端末固有のID(シリアルナンバーのようなもの)を利用した認証がよく使われます。
多少使い方は違いますが、DoCoMo,AU,Softbank のそれぞれに用意されています。
IPアドレスによるアクセス制限とフォームまたは端末固有IDによる認証を併用するパターンが多いです。
たとえば、「ポケットはてな」でも、同様の手段がとられています。
詳細なご回答、ありがとうございます。私的には、かなり高ポイントな情報です。助かります。
一般サイトと公式サイトでは違う...とは、ウッカリしていました。確かにそうですよね。キャリア内部に抱えている公式サイトの場合は、いろんな意味で、安全性が高そうな気がします。
「SSLと併用すべき....」とのお話ですが、携帯用の一般サイトにアクセスするのに、SSL通信は携帯から利用できるのでしょうか? (自分でも調べてみます)
相当古い機種(502iくらい)以外では、SSL通信が可能です。SSLを張った上でのBASIC認証ならばパスワードの漏洩の心配はありません。
古い機種では速度の面で問題となるかもしれません。
あっ、次のご回答を開くと、まさにSSL通信の件に言及されていました。古い機種以外は、普通に使えるのですね。こちらもありがたい情報です。ありがとうございました。
あと1日くらいして、その他のご回答が無ければ、質問を終了したいと思います。
手早くなおかつセキュアな認証を行いたいのであれば ベーシック認証+SSL がよいかと思います。
ベーシック認証は認証の際、パスワードをエンコードし送信しますが、ほぼ平分といっても言いかと思います。従い通常の場合でベー十区認証を行うのは若干セキュリティ面から見ても危険なので、送信される間をSSLで暗号化すればOKです。
そうですね。SSL通信させた方が安全ですよね。すみませんが、ご指摘の情報はおおよそ理解すみでした。3番のご回答までの時点でお尋ねしたかったのは、携帯サイトと携帯電話とのやりとりにおいて、一般のWebサイトの場合と同様に、認証時にSSL通信が使えるのだろうか...という点でした。その点では、3番の方のご回答が参考になりました。すみません。
詳細なご回答、ありがとうございます。後ほど追記いたします(昼食タイムなのです)。参考になる情報ですので、終了後に50ptを送信させていただきますね。
パスワードが平文で送られるため通信経路で盗聴されると危険....の箇所は、よく理解できます。経路上での暗号化も重要だと思います。それとは別に、ワンタイムやダイジェスト認証のような、認証の時点で安全性を高める方策が、携帯サイト用にもあるのかな.....と、疑問に思っているのです。