ダイジェスト認証の必要性

八王子さん  
(No.1)
HTTPS通信を使っていればPWが平分でも実質暗号化されて送られているのと同じなので、ダイジェスト認証のような捻った認証方法は不必要な気がするのですが、なぜ使われているのでしょうか。

また余談ですが、ワンタイムパスワードというのは、ベーシック認証、ダイジェスト認証と同じように、認証する方法の内の1種類という認識で合っていますか?それとも「ベーシック認証にワンタイムパスワードを適用にするとこで更に強化」…のような使われ方をするのでしょうか?
2023.07.28 18:05
まーぼさん 
(No.2)
HTTPSで暗号化されたということは復号できる鍵があるということです。もし盗聴されて復号された場合に平文のパスワードが漏洩してしまいます。

対してダイジェスト認証ではパスワードをハッシュ化しますが、ハッシュ値を元のパスワードに変換する方法はありません。そのため、仮に盗聴されたとしてもパスワードの漏洩を防ぐことができます。

認証方法にベーシック認証・ダイジェスト認証・トークンベース認証があり、ワンタイムパスワードはトークンベース認証の方法の1つだと認識してます。
2023.07.28 18:32
文系学生さん 
(No.3)
クライアントから入力されたpassをハッシュ化してサーバに送れば、サーバ側のクライアントpassのハッシュ値をdbに保存してあれば突合せ処理ができます。
さーばのpassが流出しても、盗聴されてもハッシュ値なのでリスクが少ないというメリットもあります
2023.07.28 21:06
八王子さん  
(No.4)
なるほど、確かにサーバの情報が漏洩した場合でもダイジェスト認証ならPW流出を防げますね。納得しました。ありがとうございました!
2023.07.29 06:57

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop