JP2011242834A - ユーザ認証装置、方法、及びコンピュータプログラム - Google Patents

ユーザ認証装置、方法、及びコンピュータプログラム Download PDF

Info

Publication number
JP2011242834A
JP2011242834A JP2010111788A JP2010111788A JP2011242834A JP 2011242834 A JP2011242834 A JP 2011242834A JP 2010111788 A JP2010111788 A JP 2010111788A JP 2010111788 A JP2010111788 A JP 2010111788A JP 2011242834 A JP2011242834 A JP 2011242834A
Authority
JP
Japan
Prior art keywords
user
password
vulnerability
authentication
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010111788A
Other languages
English (en)
Inventor
Hiromi Uwada
弘美 宇和田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2010111788A priority Critical patent/JP2011242834A/ja
Publication of JP2011242834A publication Critical patent/JP2011242834A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】ユーザID及びパスワードによるユーザ認証の際に、パスワードの脆弱性に応じたアクセス制限を行うことで、不正アクセスを防止することができる。
【解決手段】所定の情報にアクセスしようとするユーザに対してユーザ認証を行うユーザ認証装置であって、ユーザのユーザID及びパスワードを含むユーザ情報が格納された認証DB114と、ユーザによって入力されたユーザID及びパスワードを受け付ける入力受付部111と、入力受付部によって受け付けられたユーザID及びパスワードについて、認証DB内のユーザ情報と照合してユーザ認証を行う認証処理部112と、認証処理部によるユーザ認証が成功した場合に、入力受付部が受け付けたパスワードの脆弱性を評価する脆弱性評価部113と、ユーザIDに対して、評価脆弱性評価部によるパスワードの脆弱性の評価結果に応じたアクセス権限を付与する認証処理部とを備える。
【選択図】図2

Description

本発明は、所定の情報にアクセスしようとするユーザに対して、ユーザID及びパスワードによるユーザ認証を行う装置に関する。
従来、コンピュータネットワーク上の所定の情報へのアクセスを制御する方法として、ユーザID及びパスワードによるユーザ認証が知られている。このようなユーザ認証を行うユーザ認証装置においては、所定桁数以下のパスワードの禁止、文字又は数字のみのパスワードの禁止等、形式的に一定の要件を満たさないパスワードについて、その設定を禁止することでセキュリティの強化を図っていた。
また、例えば、複数のパスワードが記憶されており、ユーザ認証の際に、複数のパスワードの中から使用状態に応じたパスワードと、ユーザが入力したパスワードとを照合させて、使用状態に合わせたセキュリティレベルに応じたユーザ認証を行う装置が知られている(特許文献1参照)。このユーザ認証装置では、セキュリティレベルの高い使用状態である場合には桁数の少ないパスワードが適用され、セキュリティレベルの低い使用状態である場合には桁数の多いパスワードが適用されるため、ユーザは使用状態に応じて桁数の異なるパスワードを入力するものである。
特開2001−306173号公報
しかしながら、上記従来のユーザ認証装置においては、桁数が制限以下のパスワード等、形式的な要件を満たさないパスワードについては、設定を禁止して使用を認めないようにすることが可能であるとしても、例えば意味のある単語や規則性のある文字列からなるパスワードのような、いわゆる脆弱性なパスワードの設定及び使用は可能である。このため、脆弱なパスワードが設定されると、セキュリティレベルが低下するという課題があった。
本発明にかかるユーザ認証装置は、ユーザID及びパスワードによるユーザ認証の際に、パスワードの脆弱性に応じたアクセス制限を行うことで、セキュリティを強化することを目的とする。
本発明の一つの実施態様に従うユーザ認証装置は、所定の情報にアクセスしようとするユーザに対してユーザ認証を行うユーザ認証装置であって、前記ユーザのユーザID及びパスワードを含むユーザ情報が格納された記憶部と、前記ユーザによって入力されたユーザID及びパスワードを受け付ける受付手段と、前記受付手段によって受け付けられた前記ユーザID及び前記パスワードについて、前記記憶部内の前記ユーザ情報と照合してユーザ認証を行う認証手段と、前記認証手段によるユーザ認証が成功した場合に、前記受付手段が受け付けた前記パスワードの脆弱性を評価する評価手段と、前記ユーザIDに対して、前記評価手段による前記パスワードの脆弱性の評価結果に応じたアクセス権限を付与する付与手段と、を備える。
好適な実施態様では、前記ユーザ情報は、前記ユーザID及び前記パスワードに対応づけて予め設定されたアクセス権限をさらに含んでいて、前記評価手段によって前記パスワードの脆弱性が所定以下であると評価された場合には、前記付与手段は、前記予め設定されたアクセス権限以下の前記アクセス権限を前記ユーザID及び前記パスワードに対して付与する。
好適な実施態様では、前記ユーザ情報には、1つのユーザIDに対して複数のパスワードが設定可能であって、前記1つのユーザIDに対する前記複数のパスワードには、それぞれ異なるアクセス権限が予め設定されていて、前記認証手段は、前記受付手段によって受け付けられた前記ユーザID及び前記パスワードについて、前記ユーザ情報と照合してユーザ認証を行い、前記評価手段によって前記パスワードの脆弱性が所定以下であると評価された場合には、前記付与手段は、前記予め設定されたアクセス権限以下の前記アクセス権限を前記ユーザID及び前記パスワードに対して付与する。
好適な実施形態では、外部ネットワークからのアクセス要求を受け付けると、そのアクセス要求に含まれるパスワードを所定の規則に基づいて変換し、変換されたパスワードを含むアクセス要求を前記受付手段へ仲介する外部アクセス仲介手段をさらに備え、前記記憶手段に格納されるユーザ情報には、前記ユーザIDに対して前記変換されたパスワードが設定されており、前記受付手段が受け付けたパスワードが、前記変換されたパスワードであるときには、前記評価手段は、前記変換されたパスワードを、所定以下の脆弱性であると評価する。
好適な実施形態では、前記評価手段による前記パスワードの脆弱性の評価結果を前記ユーザ情報に対応づけて記憶手段に登録する手段をさらに備え、前記評価手段は、ユーザ情報に前記評価結果が記録されている場合には、前記受付手段が受け付けた前記パスワードの脆弱性の評価を行わず、前記付与手段は、前記ユーザIDに対して、前記記憶手段に記録された前記パスワードの前記評価結果に応じたアクセス権限を付与する。
本発明の好適な一の実施形態にかかるユーザ認証装置の接続状態を示す全体構成図である。 本実施形態にかかるユーザ認証装置の機能ブロック図である。 認証DB内のユーザ情報のデータ構造の一例を示す。 本実施形態にかかるユーザ認証装置の動作を説明するためのフローチャートである。 脆弱性の評価結果が記録されたユーザ情報の一例を示す。 変形例におけるユーザ認証装置の動作を説明するためのフローチャートである。
以下、本発明の好適な一実施形態にかかるユーザ認証装置を、図面を参照して詳細に説明する。図1は、本実施形態にかかるユーザ認証装置10の接続状態を示す全体構成図である。本実施形態では、ユーザ認証装置10は、社内LAN等の内部ネットワーク1上に設けられる。また、内部ネットワーク1は、ユーザ認証装置10を介してインターネット等の外部ネットワーク2と接続されている。なお、図示例では、外部ネットワーク2に3台の端末装置T2、T2、T2が接続されている。
内部ネットワーク1上において、ユーザ認証装置10は、少なくとも1台の端末装置及び各種サーバと接続される。図1にあっては、説明のために、サーバは業務サーバ20のみであって、業務サーバ20は、3台の端末装置T1、T1、T1と接続されたものとする。また、以下の説明では、アクセス要求は、内部ネットワーク1及び外部ネットワーク2上の端末装置T1、T1、T1、T2、T2、T2から業務サーバ20へのものであるとするが、これに限定されるものではない。
本実施形態にあっては、ユーザ認証装置10は、RAS(Remote Access Service)サーバ12と認証サーバ11とが相互に接続して構成される。RASサーバ12及び認証サーバ11は、それぞれのサーバ本体のプロセッサが所定のプログラムを実行することにより図2に示す機能が実現される。なおここでは、ユーザ認証装置10は、RASサーバ12及び認証サーバ11という別々の装置を相互に接続して構成されているが、これに限られない。例えば、ユーザ認証装置10は、1つ装置のみ(例えば、認証サーバ11)で構成されていてもよいし、内部ネットワーク1上の複数の装置に各機能を実現させるプログラムをそれぞれインストールすることによって構成されてもよい。
図2は、ユーザ認証装置10の機能ブロック図である。
RASサーバ12は、外部からのアクセスを仲介する手段を備える。例えば、RASサーバ12は、外部ネットワーク2からのアクセス要求を受け付けると、そのアクセス要求に含まれるパスワードを所定の規則に基づいて変換し、変換されたパスワードを含むアクセス要求を認証サーバ11の入力受付部111へ仲介する機能を有する。所定の規則に基づいた変換は、例えば、以下に示すようにパスワードに所定の識別子を付与することで行うようにしてもよい。なおここで、外部ネットワーク2からのアクセス要求には、アクセス要求を送信したユーザのユーザID及びパスワード、送信元の端末装置及びネットワークの識別情報、送信先の端末装置及びネットワークの識別情報又は送信先のサーバ及びネットワークの識別番号、リクエスト本文等が含まれるようにしてもよい。
内部ネットワーク1上の業務サーバ20に対し、外部ネットワーク2からアクセス要求が送信された場合には、そのアクセス要求はRASサーバ12を介して受信される。RASサーバ12は、外部ネットワーク2からのアクセス要求を受信すると、アクセス要求の中からユーザのパスワードを抽出し、抽出したパスワードに所定の識別子を付加して認証サーバ11に送信する。パスワードには、例えば「ras−」という識別子が付加される。識別子は、パスワードの先頭又は末尾などどのような位置に付加されるようにしてもよい。
認証サーバ11は、例えば図示例のように、入力受付部111、認証処理部112、脆弱性評価部113、認証データベース114(以下、認証DBという)及び辞書データベース115(以下、辞書DBという)を備える。
入力受付部111は、外部ネットワーク2及び内部ネットワーク1からのアクセス要求を受け付ける手段を備える。すなわち、入力受付部111は、ユーザによって入力されたユーザID及びパスワードを受け付ける機能を有する。例えば、入力受付部111は、RASサーバ12が仲介する外部ネットワーク2上の端末装置T2からは、ユーザID及び識別子が付加されたパスワードを含むアクセス要求を受け付ける。また例えば、内部ネットワーク1上の端末装置T1から送信された、ユーザID及びパスワードを含むアクセス要求を受け付ける。入力受付部111は、受け付けたアクセス要求のうち、ユーザID及びパスワード(識別子が付加されたパスワードを含む)を後述する認証処理部112へ送信する。
認証DB114は、ユーザ情報を記憶する記憶部としての機能を備える。図3は、認証DB114内に格納されるユーザ情報30のデータ構造の一例を示す。ユーザ情報30は、データ構造として、ユーザID31及びパスワード32と、これらユーザID31及びパスワード32に対応づけて予め設定されたアクセス権限33とを有する。また、ユーザ情報30には、1つのユーザID31に対して複数のパスワード32が設定可能であって、1つのユーザID31に対する複数のパスワード32には、それぞれ異なるアクセス権限33を予め設定しておいてもよい。
ユーザ情報30の設定方法としては、従来周知のように、ユーザが申請したユーザID及びパスワードに基づいて、管理者がこれらユーザID31及びパスワード32に対応づけたアクセス権限33を設定するようにしてもよい。また、ユーザは、1つのユーザIDに対して、複数のパスワードを申請することも可能とし、この場合には、管理者は、一対のユーザID31及びパスワード32に対応づけて、それぞれ異なるアクセス権限33を設定し、これらをそれぞれユーザ情報30として登録しておいてもよい。
さらに、管理者は、一対のユーザID及びパスワードが申請された場合には、その一対のユーザID31及びパスワード32の他に、そのパスワードに識別子「ras−」を付加したパスワード32とそのユーザID31との対をユーザ情報30に登録しておいてもよい。この場合、これらユーザID31及び識別子が付与されたパスワード32に対応づけられるアクセス権限33については、識別子なしのパスワード32とユーザID31の対に対応づけられたアクセス権限33と同様のものを登録してもよいし、また、アクセス権限33の登録は行わず空欄にしておいてもよい。
図示例では、アクセス権限33は、権限の高いものから順に、管理者権限(以下、Adminという)、ユーザ権限(以下、Userという)、ゲスト権限(以下、Guestという)の3つの権限が設定されているが、アクセス権限33の設定はこれに限定されず、どのように行ってもよいものである。
認証処理部112は、ユーザ認証を行う手段を備える。認証処理部112は、入力受付部111によって受け付けられたユーザID及びパスワードについて、認証DB114内のユーザ情報30と照合してユーザ認証を行う。例えば、認証処理部112は、入力受付部111から送信されたアクセス要求から、ユーザID及びパスワード(識別子が付加されたパスワードを含む。以下同様)を抽出する。そして、認証処理部112は、アクセス要求に含まれるユーザID及びパスワードを、ユーザ情報30の一対のユーザID31及びパスワード32と照合し、アクセス要求のユーザID及びパスワードに一致するユーザID31及びパスワード32の対がユーザ情報30に含まれていれば、これを認証する。認証処理部112は、ユーザ認証が成功した場合には、アクセス要求を脆弱性評価部113に送信する。
なお、ユーザ認証が成功しなかった場合、すなわち、アクセス要求のユーザID及びパスワードに一致するユーザID31及びパスワード32の対がユーザ情報30に含まれていなかった場合には、その結果をユーザがアクセス要求を送信した端末装置T1、T2に送信し、端末装置T1、T2の表示部に表示させるようにしてもよい。
認証処理部112は、また、アクセス権限を付与する手段を備える。認証処理部112は、アクセス要求に含まれるユーザID及びパスワードに対して、脆弱性評価部113によるパスワードの脆弱性の評価結果に応じたアクセス権限を付与する。また、認証処理部112は、脆弱性評価部113によってパスワードの脆弱性が所定の基準レベル以下であると評価された場合には、管理者によって予め設定されたアクセス権限以下のアクセス権限をユーザID及びパスワードに対して付与するようにしてもよい。なおここで、「予め設定されたアクセス権限以下のアクセス権限をユーザID及びパスワードに対して付与する」とは、予め設定されたアクセス権限よりも低いアクセス権限が存在する場合には、予め設定されたアクセス権限よりも低いアクセス権限を付与し、予め設定されたアクセス権限が最下位のアクセス権限であった場合には、そのアクセス権限を付与するという意味である。例えば、認証処理部112は、後述する辞書DB115内のユーザ情報30において、ユーザID31及びパスワード32に対応するアクセス権限が33予め設定されている場合には、そのアクセス権限33を仮のアクセス権限として抽出し、仮のアクセス権限以下のアクセス権限をユーザID及びパスワードに対して付与するようにしてもよい。
アクセス権限の付与は、どのように行ってもよい。例えば、すべてのユーザID及びパスワードの対に対して、脆弱性評価部113の評価結果において脆弱性が所定の基準レベル以下であると判断された場合に、Guest権限など一定以下の権限のみを付与するようにし、脆弱性評価部113の評価結果が所定の基準レベルよりも高いと判断された場合には、User権限等、一定以上の権限を付与するようにしてもよい。また、仮のアクセス権限33が設定されているユーザID31及びパスワード32に対しては、脆弱性評価部113の評価結果において脆弱性が所定の基準レベル以下であると判断された場合に、仮のアクセス権限33よりも1又は数ランク下位のアクセス権限を付与するようにし、脆弱性評価部113の評価結果が所定の基準レベルよりも高いと判断された場合に、仮のアクセス権限33をそのままアクセス権限として付与してもよい。
辞書DB115には、単語、固有名詞など、パスワードとして使用すると脆弱なパスワードとなる恐れのある文字列が格納される。辞書DB115は、例えば、一般周知のパスワード解析プログラムに搭載された辞書を使用してもよい。また、辞書DB115には、脆弱性があるであろうと考えられる文字列を、管理者等が登録できるようにしてもよい。この場合、例えば前述した識別子「ras−」のように、RASサーバで付加される所定の識別子を文字列として登録しておいてもよい。
脆弱性評価部113は、パスワードの脆弱性を評価する手段を備える。すなわち、脆弱性評価部113は、認証処理部112によるユーザ認証が成功した場合に、入力受付部111が受け付けたパスワードの脆弱性を評価する機能を有する。例えば、認証処理部112のユーザ認証が成功した場合には、脆弱性評価部113は、認証処理部112から送信されたアクセス要求を受信する。認証処理部112は、受信したアクセス要求からパスワードを抽出し、パスワードの脆弱性の評価を行う。
パスワードの脆弱性の評価は、辞書DB115に基づいて行われる。例えば、脆弱性の評価は、辞書DB115を参照してパスワードの脆弱性を算出し、算出した脆弱性に基づいた評価を行うなど、周知のパスワード解析プログラムによる評価方法であってもよい。例えば、パスワードが辞書DB115に含まれる文字列のみからなる場合、辞書DB115に含まれる文字列を含む場合等は、そのパスワードは所定の基準レベル以下の脆弱性を有するとしてもよい。この際、辞書DB115に予め登録しておいた識別子(例えば「ras−」など)が一部分に含まれるパスワードについては、脆弱性を所定の基準レベル以下にするとしてもよい。さらに例えば、評価結果は、所定の基準レベル以下か否かの2段階評価としてもよいし、多段階評価としてもよい。
脆弱性評価部113は、パスワードの脆弱性の評価結果を認証処理部112に通知する。
なお、脆弱性評価部113は、脆弱性の評価結果が所定の基準レベル以下であると判定されたパスワードについては、ユーザにパスワードの変更を促すようにしてもよい。この場合、ユーザがアクセス要求を送信した端末装置T1、T2にパスワードが脆弱である旨のメッセージを通知してもよいし、強制的にパスワードを変更させるようにしてもよい。また、識別子が一部に含まれるために脆弱性の評価結果が所定以下であると判断されたパスワードについては、ユーザにその旨(本実施形態にあっては、外部ネットワークからのアクセスである旨)を通知してもよい。
次に、図4を参照して、本実形態にかかるユーザ認証装置10の動作を説明する。
図4は本実施形態にかかるユーザ認証装置10の動作を示すフローチャートである。
内部ネットワークの端末装置T1からアクセス要求が送信された場合には、入力受付部111は、そのアクセス要求を受け付ける。また、外部ネットワークの端末装置からアクセス要求が送信された場合には、入力受付部111はRASサーバ12を介して、そのアクセス要求を受け付ける。なおこの際、RASサーバ12において、アクセス要求に含まれるパスワードには識別子「ras−」が付与される。
ユーザからのアクセス要求を受け付けた入力受付部111は、そのアクセス要求を認証処理部112に送信する。アクセス要求を受信した認証処理部112は、認証DB114内のユーザ情報30を参照して、ユーザ情報30内のユーザID31及びパスワード32と、アクセス要求に含まれるユーザID及びパスワードとを照合して、ユーザ認証を行う(ステップS1)。
ユーザ認証が成功した場合には、認証処理部112は、アクセス要求に含まれるユーザID及びパスワードの対に対応するユーザ情報30のユーザID31及びパスワード32に対応するアクセス権限33を仮のアクセス権限として抽出する(ステップS2)。
認証処理部112は、アクセス要求を脆弱性評価部113に送信する。アクセス要求を受信した脆弱性評価部113は、アクセス要求に含まれるパスワードの脆弱性を評価する(ステップS3)。
脆弱性評価部113は、パスワードの脆弱性の評価結果を、認証処理部112に通知する。
認証処理部112は、パスワードの脆弱性の評価結果とステップS2で抽出した仮のアクセス権限とに基づき、上述の要領でユーザID31及びパスワード32にアクセス権限を付与する(ステップS4)。
ユーザ認証装置10は、上記ステップを行うことにより、ユーザID及びパスワードによるユーザ認証の際に、パスワードの脆弱性に応じたアクセス制限を行うことによって、セキュリティを強化することができる。
なお、ステップS2において仮のアクセス権限が抽出されなかった場合には、ステップS5において、認証処理部112は、パスワードの脆弱性の評価結果のみに基づいて、ユーザID31及びパスワード32にアクセス権限を付与するようにしてもよい。
次に、本実施形態にかかるユーザ認証装置10の変形例を説明する。
本変形例にあっては、脆弱性評価部113は、パスワードの脆弱性を評価した際に、その評価結果を認証DB114内のユーザ情報30に記録する機能を備えてもよい。
図5は、脆弱性評価部によって評価結果が記録されたユーザ情報40の一例を示す。例えば、ユーザ情報40には、図示例のように、ユーザID41、パスワード42及びアクセス権限43とともに、脆弱性の評価結果が記録されるフラグ欄44が設けられる。フラグ欄44には、脆弱性の評価結果に応じて0〜2までの数字を記入してもよい。例えば、図示例のように、「0」が未評価、「1」が評価済みであって、脆弱性が所定の基準レベルより高いと評価されたもの、「2」が評価済みであって、脆弱性が所定の基準レベル以下であると評価されたものとしてもよい。
本変形例では、上記したように、脆弱性評価部113に評価結果を記録する機能を備えることで、ユーザ認証装置10は以下のように動作する。ユーザ認証装置の動作を図6を参照して説明する。図6は、本変形例におけるユーザ認証装置の動作を説明するためのフローチャートである。
認証処理部112は、ユーザ認証を行い(ステップS11)、仮のアクセス権限を抽出した(ステップS12)後に、そのユーザ情報30に対応するフラグ欄34を確認する(ステップS13)。
ステップS13において、フラグが「1」であった場合には、認証処理部112は、仮のアクセス権限以下のアクセス権限を付与する(ステップS14)。
ステップS13において、フラグが「2」であった場合には、認証処理部112は、仮のアクセス権限をアクセス権限として付与する。
ステップS13において、フラグが「0」であった場合には、認証処理部112は、アクセス要求を脆弱性評価部113に送信する(ステップS15)。
脆弱性評価部113は、パスワードの脆弱性評価(ステップS16)を行い、評価結果を認証処理部112に通知するとともに、ユーザ情報30のフラグ欄34に記録する。
通知を受けた認証処理部112は、パスワードの脆弱性の評価結果とステップS12で抽出した仮のアクセス権限とに基づき、ユーザID31及びパスワード32にアクセス権限を付与する(ステップS17)。
本変形例においては、最初のアクセス要求時にパスワードの脆弱性の評価を行い、その評価結果を記録しておくことで、以降のアクセス要求は、再び脆弱性評価を行うことなく、ユーザID及びパスワードの対に対してアクセス権限の付与を行うことができる。
上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。
1 内部ネットワーク
2 外部ネットワーク
10 ユーザ認証装置
11 認証サーバ
12 サーバ
20 業務サーバ
30 ユーザ情報
31 ユーザID
32 パスワード
33 アクセス権限
34 フラグ欄
111 入力受付部
112 認証処理部
113 脆弱性評価部
114 認証データベース
115 辞書データベース

Claims (7)

  1. 所定の情報にアクセスしようとするユーザに対してユーザ認証を行うユーザ認証装置であって、
    前記ユーザのユーザID及びパスワードを含むユーザ情報が格納された記憶部と、
    前記ユーザによって入力されたユーザID及びパスワードを受け付ける受付手段と、
    前記受付手段によって受け付けられた前記ユーザID及び前記パスワードについて、前記記憶部内の前記ユーザ情報と照合してユーザ認証を行う認証手段と、
    前記認証手段によるユーザ認証が成功した場合に、前記受付手段が受け付けた前記パスワードの脆弱性を評価する評価手段と、
    前記ユーザIDに対して、前記評価手段による前記パスワードの脆弱性の評価結果に応じたアクセス権限を付与する付与手段と、
    を備えるユーザ認証装置。
  2. 前記ユーザ情報は、前記ユーザID及び前記パスワードに対応づけて予め設定されたアクセス権限をさらに含んでいて、
    前記評価手段によって前記パスワードの脆弱性が所定以下であると評価された場合には、前記付与手段は、前記予め設定されたアクセス権限以下の前記アクセス権限を前記ユーザID及び前記パスワードに対して付与する、請求項1に記載のユーザ認証装置。
  3. 前記ユーザ情報には、1つのユーザIDに対して複数のパスワードが設定可能であって、前記1つのユーザIDに対する前記複数のパスワードには、それぞれ異なるアクセス権限が予め設定されていて、
    前記認証手段は、前記受付手段によって受け付けられた前記ユーザID及び前記パスワードについて、前記ユーザ情報と照合してユーザ認証を行い、
    前記評価手段によって前記パスワードの脆弱性が所定以下であると評価された場合には、前記付与手段は、前記予め設定されたアクセス権限以下の前記アクセス権限を前記ユーザID及び前記パスワードに対して付与する、
    請求項2に記載のユーザ認証装置。
  4. 外部ネットワークからのアクセス要求を受け付けると、そのアクセス要求に含まれるパスワードを所定の規則に基づいて変換し、変換されたパスワードを含むアクセス要求を前記受付手段へ仲介する外部アクセス仲介手段をさらに備え、
    前記記憶手段に格納されるユーザ情報には、前記ユーザIDに対して前記変換されたパスワードが設定されており、
    前記受付手段が受け付けたパスワードが、前記変換されたパスワードであるときには、前記評価手段は、前記変換されたパスワードを、所定以下の脆弱性であると評価する、請求項2又は3に記載のユーザ認証装置。
  5. 前記評価手段による前記パスワードの脆弱性の評価結果を前記ユーザ情報に対応づけて記憶手段に登録する手段をさらに備え、
    前記評価手段は、前記ユーザ情報に前記評価結果が記録されている場合には、前記受付手段が受け付けた前記パスワードの脆弱性の評価を行わず、
    前記付与手段は、前記ユーザIDに対して、前記記憶手段に記録された前記パスワードの前記評価結果に応じたアクセス権限を付与する、
    請求項1〜4に記載のユーザ認証装置。
  6. ユーザID及びパスワードを含むユーザ情報が格納された記憶部を備えたユーザ認証装置において、所定の情報にアクセスしようとするユーザに対してユーザ認証を行うための方法であって、
    前記ユーザによって入力されたユーザID及びパスワードを受け付けるステップと、
    前記受付手段によって受け付けられた前記ユーザID及び前記パスワードについて、前記記憶部内の前記ユーザ情報と照合してユーザ認証を行うステップと、
    前記認証手段によるユーザ認証が成功した場合に、前記受付手段が受け付けた前記パスワードの脆弱性を評価するステップと、
    前記ユーザIDに対して、前記評価手段による前記パスワードの脆弱性の評価結果に応じたアクセス権限を付与するステップと、
    を備える方法。
  7. ユーザID及びパスワードを含むユーザ情報が格納された記憶部を備えたユーザ認証装置において、所定の情報にアクセスしようとするユーザに対してユーザ認証を実行するためのコンピュータプログラムであって、
    前記ユーザによって入力されたユーザID及びパスワードを受け付けるステップと、
    前記受付手段によって受け付けられた前記ユーザID及び前記パスワードについて、前記記憶部内の前記ユーザ情報と照合してユーザ認証を行うステップと、
    前記認証手段によるユーザ認証が成功した場合に、前記受付手段が受け付けた前記パスワードの脆弱性を評価するステップと、
    前記ユーザIDに対して、前記評価手段による前記パスワードの脆弱性の評価結果に応じたアクセス権限を付与するステップと、
    を備えるコンピュータプログラム。



JP2010111788A 2010-05-14 2010-05-14 ユーザ認証装置、方法、及びコンピュータプログラム Pending JP2011242834A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010111788A JP2011242834A (ja) 2010-05-14 2010-05-14 ユーザ認証装置、方法、及びコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010111788A JP2011242834A (ja) 2010-05-14 2010-05-14 ユーザ認証装置、方法、及びコンピュータプログラム

Publications (1)

Publication Number Publication Date
JP2011242834A true JP2011242834A (ja) 2011-12-01

Family

ID=45409445

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010111788A Pending JP2011242834A (ja) 2010-05-14 2010-05-14 ユーザ認証装置、方法、及びコンピュータプログラム

Country Status (1)

Country Link
JP (1) JP2011242834A (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012083917A (ja) * 2010-10-08 2012-04-26 Canon Marketing Japan Inc 情報処理装置、情報処理方法、及びコンピュータプログラム
JP2015228216A (ja) * 2014-05-30 2015-12-17 アップル インコーポレイテッド コンテキストベースのデータアクセス制御
KR20160084997A (ko) * 2015-01-07 2016-07-15 충북대학교 산학협력단 비밀번호 기반 역할 및 권한 부여 장치 및 방법
JP2017505489A (ja) * 2014-01-21 2017-02-16 イーストセキュリティー カンパニー リミテッドEstsecurity Co. Ltd. イントラネットセキュリティシステム及びセキュリティ方法
US9600658B2 (en) 2014-04-11 2017-03-21 International Business Machines Corporation Generating or changing passwords using a degree of simplicity
CN110909355A (zh) * 2018-09-17 2020-03-24 北京京东金融科技控股有限公司 越权漏洞检测方法、系统、电子设备和介质
CN112313646A (zh) * 2018-06-14 2021-02-02 京瓷办公信息系统株式会社 认证装置以及图像形成装置

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012083917A (ja) * 2010-10-08 2012-04-26 Canon Marketing Japan Inc 情報処理装置、情報処理方法、及びコンピュータプログラム
JP2017505489A (ja) * 2014-01-21 2017-02-16 イーストセキュリティー カンパニー リミテッドEstsecurity Co. Ltd. イントラネットセキュリティシステム及びセキュリティ方法
US9600658B2 (en) 2014-04-11 2017-03-21 International Business Machines Corporation Generating or changing passwords using a degree of simplicity
JP2015228216A (ja) * 2014-05-30 2015-12-17 アップル インコーポレイテッド コンテキストベースのデータアクセス制御
KR20160084997A (ko) * 2015-01-07 2016-07-15 충북대학교 산학협력단 비밀번호 기반 역할 및 권한 부여 장치 및 방법
KR101668550B1 (ko) 2015-01-07 2016-10-21 충북대학교 산학협력단 비밀번호 기반 역할 및 권한 부여 장치 및 방법
CN112313646A (zh) * 2018-06-14 2021-02-02 京瓷办公信息系统株式会社 认证装置以及图像形成装置
CN110909355A (zh) * 2018-09-17 2020-03-24 北京京东金融科技控股有限公司 越权漏洞检测方法、系统、电子设备和介质

Similar Documents

Publication Publication Date Title
Lang et al. Security keys: Practical cryptographic second factors for the modern web
US7845003B2 (en) Techniques for variable security access information
US8910290B2 (en) Method and apparatus for token-based transaction tagging
US9069943B2 (en) Method and apparatus for token-based tamper detection
US8572683B2 (en) Method and apparatus for token-based re-authentication
US8539558B2 (en) Method and apparatus for token-based token termination
US8042159B2 (en) Website log in system with user friendly combination lock
US20130047195A1 (en) Method and apparatus for making token-based access decisions
JP6468013B2 (ja) 認証システム、サービス提供装置、認証装置、認証方法及びプログラム
US20130047266A1 (en) Method and apparatus for token-based access of related resources
US10135810B2 (en) Selective authentication system
US20130047241A1 (en) Method and Apparatus for Token-Based Combining of Risk Ratings
US9225744B1 (en) Constrained credentialed impersonation
JP2011242834A (ja) ユーザ認証装置、方法、及びコンピュータプログラム
US9253197B2 (en) Method and apparatus for token-based real-time risk updating
US20150033306A1 (en) Apparatus and method for system user authentication
US7904947B2 (en) Gateway log in system with user friendly combination lock
US20130247149A1 (en) Internet protocol address authentication method
US11005853B1 (en) Restriction transitivity for session credentials
US10079687B2 (en) System and method for password recovery using fuzzy logic
US20130047224A1 (en) Method and apparatus for token-based attribute abstraction
US20150046993A1 (en) Password authentication method and system
US8850515B2 (en) Method and apparatus for subject recognition session validation
US10354060B2 (en) Applying a partial captcha
US8104084B2 (en) Authorizing a user to a device