パスワードの漏洩を防止する方法

[上に] [前に] [次に]
baku [E-Mail] 1999/12/14(火) 07:41:37
会員が、自分のパスワードを意図的に第三者に漏らす事を
防ぐには、どうすればいいか?
と調べていたら、以下の情報が見つかりました。
----------------------------------------------
http://www.kent-web.com/pwd/?

の強化タイプ   (COSMO GATE-EX)

「IDとパスワードの発行からそのアクセス制限まで連携し
た形で実現します。また隠しファイルは複数ページにも
対応。誰がいつ認証されたかのログ記録も取得します。
上級者向け」
----------------------------------------------
上記の説明で期待する事大なのですが・・

会員制のHPを目論んでいますが、心配なのはパスワードを会員が意図的に
漏らす事です。
共有サーバを借りました。
.htaccess,telnet,SSI,cgiいずれも使えます。
そこで、道義心に訴え「パスワードを教えてはダメよ!」
だけでは、心許ないので、システム側でチェックをして、不正アクセスを
監視できないか?と思っています。
会員には
会員NO:ユーザID:パスワードの3点setで渡します。

いずれにしても、不正は監視されていると思わせる事で
かなりの歯止めが掛かると思うのですが
具体的にどのような方法があるか教えてください。
上記の処にも問い合わせているのですが・・
しんぱぃ 1999/12/15(水) 04:53:12
>会員が、自分のパスワードを意図的に第三者に漏らす事を防ぐ

無理です。
別にネットワークでなくても聞きだそうとするのであれば
電話をかけて旨く話しに乗せて”うっかり話してしまった”を聞き出すことができますし。

どのような類の会員制なのか知りませんが、
閉鎖的な場所の情報というのは往々にして流失するものです。
ほねほねろっく 1999/12/15(水) 09:08:30
その会員になる時、個人を特定する情報を提供させれば良いのでは?
しかも、それをパスワードの一部にしてしまうとか。
たとえば、使用者の個人情報(住所氏名電話番号)とかをサーバで保存して、
ID・パスワードは、免許証のNoを使うとかね(笑)
漏らした本人が不利益を被る状態を作らなきゃ、だめでしょう。
そのかわり、サーバー側では念には念を入れてその情報を保護しなきゃ
いけないです。
もちろんID発行も、本人を特定できてから発行するようにね。
で、不正が発覚したら、「即抹消、再登録は永久に不可にします!」ってね。

「道義心に訴え」なんて、防いでるうちに入りません。
中途半端な「防ごう」は、やる意味が無いです。

というわけで、会員個人が完全に特定できない状況で、
「自分のパスワードを意図的に第三者に漏らす事」を知るとか防ぐのは、
無意味だし不可能です。
だって、漏らす以前に登録の時点で「なりすまし」ができちゃったら・・?
というわけで。

または、パソコンソフトのライセンス条項のようなものを作って、
「漏らしたら犯罪」とまでもっていければ、なんとか・・・
baku 1999/12/15(水) 20:21:32
Re:ほねほねろっくさん

>もちろんID発行も、本人を特定できてから発行するようにね。
>ID・パスワードは、免許証のNoを使うとかね(笑)

本人:ユーザID:パスワードはこちらで管理するとして
Aさんが自分のユーザID:パスワードをBさんに教え
BさんがWebにアクセスして来た時、AさんではなくBさんが
アクセスしてきた。不正だ!と。問題はBさんがアクセスしてきたと
どうやって見分けるのですか?
webのアクセス情報でAさんBさんの区別はつかないのでは?
それとも何らかの方法があるのでしょうか・・
むり 1999/12/15(水) 21:27:10
>会員が、自分のパスワードを意図的に第三者に漏らす事を防ぐ
のは無理ですね。なんてったって、「意図的」なんですから。
契約で縛ろうと、金銭的になど不利な条件を作ろうと、「意図的」な漏洩には機能しないでしょう。
とはいえ、無理無理言っても解決にはならないので、いくつか対案をば。
(下に行くほどアホらしいアイデアです)
1.個人デジタルIDを取得させる。Verisignなどで発行してくれる。
2.リモートアクセスポイントを構築して、発信番号規制で対応する。
3.指紋で認証する仕組みを作る。(秋葉原行けば売ってる)
4.でテレビ電話で認証する。デジカメ+PCで出来そう。
5.会員クラブをマンションの一室に作り、そこからしかアクセスできないようにする。
  受付は写真付き会員証の提示を求める。

ところで、baku さんの心配事である「会員が、自分のパスワードを意図的に第三者に漏らす」のは何故起こりうるのでしょうか。
何故、会員がそういう事をするかもしれないと心配するのかの理由をお教えいただければ、別の対応もありうるかもしれません。
また、baku さんから見た場合、漏洩によって被る被害とは何なのでしょう。被害の内容が分かれば、これもまた別の対応もありうるかもしれません。
baku 1999/12/15(水) 21:55:10


>何故、会員がそういう事をするかもしれないと心配するのかの理由をお教えいただければ、別の対応もありうるかもしれませ
>ん。

明白です。有料の会員制だからです。
一人が会員になり、このパスワードをばらまかれたら、
たまりません。

結局、むりだと言う事がわかりました。
そうすると、シャウエアーのsoft作者は、この被害にいつもあっているわけですネ
baku 1999/12/15(水) 22:06:32
追記です。

言葉足らずでしたが、Aのパスワードを第三者に教え
この第三者がアクセスしてきたら、Aがパスワードを
教えた。と、こちらで不正を糾す仕組みがないかとの質問です。

人の口を塞ぐことは出来ない相談とは重々認識はしています。
悪い事をしても、バレマスヨ!と検知する仕組みは無いものかとの
問いかけです。
のぐ 1999/12/16(木) 12:25:26
有料なんですね。それなら固定料金ではなくて、従量制課金にすれば、元ユーザーも自分が損するだけなので漏洩しないでしょうし、
仮に漏洩されてもbakuさんから見れば1人のユーザーがたくさん使ってくれただけなので、かえって得になるかも。

ところで1つアイデアを思い付きました。
「新しいパスワードをアクセスごとに教える」

1.ユーザーにパスワードを与える。パスワードは変更不可。
2.ユーザーはパスワードで「新しいパスワードをもらえるページ」にアクセスできる。
  ただし、このページは1回だけしかアクセスできない。
  このページにアクセスすると、1のパスワードは新しいパスワードに変更されてしまう。
3.ユーザーは新しいパスワードでページを閲覧できる。
  ただし、1日単位などでパスワードは期限切れとなり、2のページで新しいパスワードをもらう以外の行為はできなくなる。
−−−
というような流れです。
もしユーザーAがBにパスワードをもらし、Bが使用すると、Bがパスワードを変更してしまうので、Aは使えなくなってしまう。
さらにCookieなどでAのPCを特定するように努力すれば、なおよい。
シャウエアー 1999/12/16(木) 12:32:12
ID毎のIPのログである程度分析できませんか?
ほねほねろっく 1999/12/16(木) 13:26:50
入会時にハードウエアキーを販売するとか。
それなら1つのキーで常時1人しか使用できないので、

> 一人が会員になり、このパスワードをばらまかれたら、たまりません。

は、ハードを複製できるほどの人でなければ、できません。

というか・・・そこまで閉鎖的にしたいなら、そもそもインターネット上にサーバー持つって
事自体が、おかしいと思います。
あなたの家とかに、ネットに接続しないサーバーを用意して、
インターネット上では広告のみのサイトとして、会員にはあなたの家に直接
ダイアルアップで繋いでもらうとか(Q2使ったり)。で、電話番号通知必須・・・と。
それが一番じゃないですか?
実現するのにどれほどの費用がかかるかはしりませんが。
baku 1999/12/16(木) 22:34:48
[[解決]]
概ね得心がいきました。出来ないと・・
これでこのスレッド打ち切りたいと思います。
有難う御座いました。

スレッド打ち切り。で解決?
[上に] [前に] [次に]