ヤフーと産業技術総合研究所は3月23日、ログインの必要なWebサイトを利用する際、IDやパスワードを入力するだけで、偽サイトかどうかを自動確認できる「パスワード相互認証プロトコル」を開発した。「フィッシング詐欺に対する抜本的な解決策となる」（ヤフー）という。2007年度中に「Yahoo!オークション」へ導入し、実証実験を行う。

今回開発したプロトコルは、パスワード認証型鍵交換（PAKE）方式の国際規格「ISO/IEC 11770-4」を基盤として設計した。

ユーザーは、拡張機能を導入したWebブラウザを使うことで、Webサイトへのログイン時にパスワードを暗号化して送信できる。Webサイトのサーバーはユーザーが別途、事前登録したパスワードを暗号化してWebブラウザに返信。これにより、サーバーとWebブラウザがパスワードを相互認証する。

偽サイトであれば、相手のサーバーは正しいパスワードを返信できず、ユーザーから受信したパスワードを復号化できない。いったん相互認証を済ませたあとは、PAKE方式ではなく既存のSSL方式で暗号化通信をするなど、普及しやすいような配慮も行った。このほか偽サイトがユーザーと本物サイトとの通信に中継し、双方から正しいパスワードを盗み取る「中間者攻撃」の手口を防ぐ工夫も施し、実用性を高めた。

ヤフーと産総研は今後、同プロトコルの仕様がインターネット技術の標準化団体「IETF」の発行文書（RFC）として採用されることを目指す。将来的にはオープンソースコミュニティにソースコードを提供し、Webサイトのパスワード相互認証に関する技術標準として確立したい考え。

■関連情報
・ヤフーのWebサイト http://www.yahoo.co.jp/
・産業技術総合研究所のWebサイト http://www.aist.go.jp/

昨日読まれたベスト5〈IT〉 最新記事一覧へ 画面先頭に戻る

• スルガ銀と日本IBMの「動かないコンピュータ」訴訟、要件定義を3回繰り返す（2008/04/25）
• 2001年にググったら？ 創立10周年の米グーグルが特設サイトを開設（2008/10/01）
• 思考停止というリスク（2008/10/03）
• 「しまった！」と思う瞬間ランキング（2008/10/03）
• TVバンク、プロ野球の生中継で過去最高の同時視聴者と総視聴者を記録（2008/10/03）

IT 最新記事 記事ランキング一覧に戻る 画面先頭に戻る

• コンサル会社がiPhoneを1000台導入、国内法人で初の大口契約 (15:30)
• バーチャルコミュニケーションズがWebサイト統制SaaSに新版、レポートを強化 (15:28)
• Windowsはどうやって起動しているのか？ (15:17)
• 次世代データセンター、SaaSやグリーンIT化の中核基地に (15:16)
• SAPジャパンCEO、突如交代の真相 (15:16)
• クラウドの台頭は本物か (15:14)
• 目玉調査企画の準備に苦戦 (15:12)
• 地デジラジオでサイマル放送を開始した在京AM放送3社の狙い (15:10)
• Androidや次世代PHSをいち早く体験，人体や可視光を使った通信も (15:10)
• SNS「炎上から足あと事件簿まで」、興隆時代の落とし穴 (15:10)

• BPnet ホーム
• ニュース
• IT
• 画面先頭に戻る

記事検索 オプション

SPECIAL