童話に見るセキュリティ

Mon, 09 Jan 2012 20:31:46 HADT (4522d)

広告

狼と7匹の子ヤギ

留守番をしている子ヤギが、やってきた狼をお母さんヤギと間違えて家のドアを開けてしまい、食べられてしまう。
しかし、丸呑みだったので、帰ってきたお母さんヤギにより救出されるという話。

この話から教訓にすべきことは大きく2つある。
一つは認証方式。子ヤギたちが、母親かどうか判断(認証)するのに

  • 手足の色 を使っている。この精度が悪いため簡単にまねできてしまった。
    声で認証するのも声紋を使ったり、手足の場合も指紋など模倣しにくいものを使う必要がある。

もう一つの教訓は、その認証方式を教えてしまっている。あるいは、答えを教えてしまっている。
つまり、「何で認証するのか」が分からなければ、声を真似たり、手足を白くすることがわからないか、時間を稼げたはずである。
アルゴリズムが不明ならば、それだけ解読のための敷居は上がる。
さらに、本文中には
「お母さんはそんな声じゃない」
とか
「お母さんの手は黒くない」
とか認証のための答えを言っている。
これは極論すると
「入力したパスワードが『abc』ではないからログインできません」
と言っているようなもの。

本来ならそんなヒント(答え)を与えずに
「あなたはお母さんではない」
あるいはもっと与える情報を減らして、何の返事もせず(正解か不正解かも)、ドアを開けないのが良い。

シンデレラ

継母や姉にいじめられているシンデレラが、魔法使いに変身してもらい、パーティに参加。王子様に気に入られ結婚という話。

これも認証がキーとなっている。
シンデレラでの認証方法はガラスの靴がぴったり合うか。
つまり、この認証の方法はまったく同じ足の形をした人が他にいないということが前提。
12時で魔法が切れるのだから、ガラスの靴も無くなるはずとか、一日のうちで足の大きさが多少変化するのにとかはこの場合考えない。