JP2016200869A - 認証サーバ、認証システム及び認証方法 - Google Patents

認証サーバ、認証システム及び認証方法 Download PDF

Info

Publication number
JP2016200869A
JP2016200869A JP2015078588A JP2015078588A JP2016200869A JP 2016200869 A JP2016200869 A JP 2016200869A JP 2015078588 A JP2015078588 A JP 2015078588A JP 2015078588 A JP2015078588 A JP 2015078588A JP 2016200869 A JP2016200869 A JP 2016200869A
Authority
JP
Japan
Prior art keywords
user
client terminal
terminal
password
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015078588A
Other languages
English (en)
Inventor
裕樹 岡野
Hiroki Okano
裕樹 岡野
貴史 原田
Takashi Harada
貴史 原田
浩伸 奥山
Hironobu Okuyama
浩伸 奥山
隆広 山本
Takahiro Yamamoto
隆広 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015078588A priority Critical patent/JP2016200869A/ja
Publication of JP2016200869A publication Critical patent/JP2016200869A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】自動ログインに対し、ユーザID及びパスワードによるログイン認証の成功可否を不明確にする。【解決手段】認証サーバ20は、クライアント端末10とネットワーク30を通じて接続する。認証サーバ20は、制御部21と、ユーザ情報記憶部22と、判定部23と、通知部24と、通信部25とを備える。判定部23は、制御部21が、クライアント端末10から受信したクライアント端末10の端末情報と、受信したユーザIDに関連付けられてユーザ情報記憶部22に記憶されている登録端末情報とが一致しないと判定し、かつ、クライアント端末10から受信したパスワードと、受信したユーザIDに関連付けられてユーザ情報記憶部22に記憶されているパスワードとが一致しないと判定した場合、ログイン認証後に、クライアント端末10に正規ページに偽装したダミーページを表示させると決定する。【選択図】図1

Description

本発明は、Webサイト等を利用するユーザの認証を行う認証サーバ、認証システム及び認証方法に関する。
複数のWebサービスサイトを利用するユーザにとって、サービスサイト毎に、ログイン認証に用いるユーザID及びパスワードの組み合わせを覚えることは困難である。そのため、ユーザは、異なるサービスサイトにおいて、同一のパスワードを使いまわす傾向がある。また、ユーザIDとしてメールアドレスを採用するサービスサイトも多い。その結果、ユーザは、同一のユーザID及びパスワードを再利用しやすくなっている。
近年、そのようなユーザの行動習慣を狙ったパスワードリスト攻撃が目立ってきている。ここで、パスワードリスト攻撃とは、悪意を持った第三者(以下「攻撃者」という)が、何らかの手法により事前に別のWebサービスサイト等から入手したユーザID及びパスワードを含むパスワードリストに基づいて、複数のWebサイトに不正ログインを試みる行為である。
Webサイトへの不正ログインが成功した場合、ユーザは、攻撃者によって、アカウントを乗っ取られたり、そのWebサイトに登録されている情報を窃取されたりする被害を受けてしてしまうことがある。
攻撃者は、パスワードリストの精度を高めるために、入手した大量のユーザID及びパスワードを含むパスワードリストに基づいて、ログイン試行を繰り返し行っていると考えられる。
パスワードリスト攻撃への一つの対策方法として、リスクベース認証が知られている(例えば、非特許文献1参照)。リスクベース認証とは、ユーザの行動をサーバ側で分析し、普段とは異なるユーザの行動を検知した場合に、必要があれば、通常のユーザID及びパスワードによる認証に加えて、さらに追加の認証を行う機能である。リスクベース認証は、主に、金融機関のネットバンキングや大手SNSサイト等で導入されている。
独立行政法人情報処理推進機構、"オンライン本人認証方式の実体調査報告書"、[online]、平成26年8月、[平成27年3月27日検索]、インターネット(URL:http://www.ipa.go.jp/files/000040778.pdf)
近年、パスワードリスト攻撃の精度は増してきており、ログイン試行回数に対する不正ログイン数の割合が1割弱、という事例もあった。このような事例から、パスワードリスト攻撃において、パスワードリストの精度を高めるために、流通しているパスワードリストを用いたログイン試行が行われており、それによって、パスワードリストの価値が高められている可能性があると考えられる。従って、ログイン試行によるパスワードリスト精度の向上に対する抑制策が必要とされている。
ログイン試行は、手作業で行うと膨大な作業量となる。そのため、攻撃者は、ログイン作業を自動化し、ログイン認証後に表示されるページの画面構成によって、ユーザID及びパスワードによるログイン認証の成功可否を判断していると考えられる。
しかしながら、リスクベース認証等の従来の技術では、自動ログインに対し、ログイン認証後のページ画面構成から、ユーザID及びパスワードによるログイン認証の成功可否が明確に判断できてしまう、という問題があった。
本発明の目的は、上述の問題に鑑みてなされたものであり、自動ログインに対し、ユーザID及びパスワードによるログイン認証の成功可否を不明確にすることができる認証サーバ、認証システム及び認証方法を提供することにある。
上記課題を解決するため、本発明に係る認証サーバは、クライアント端末とネットワークを通じて接続する認証サーバであって、ユーザIDに関連付けて、パスワードと、登録端末情報とを記憶しているユーザ情報記憶部と、ログイン認証時に、前記クライアント端末から受信したユーザID、パスワード及び該クライアント端末の端末情報と、前記ユーザ情報記憶部のユーザID、パスワード及び登録端末情報とが一致するか否かを判定する制御部と、前記制御部の判定結果に基づき、前記クライアント端末にログイン認証後に表示させるページを決定する判定部と、を備え、前記判定部は、前記制御部が、前記クライアント端末から受信した該クライアント端末の端末情報と、受信したユーザIDに関連付けられて前記ユーザ情報記憶部に記憶されている登録端末情報とが一致しないと判定し、かつ、前記クライアント端末から受信したパスワードと、受信したユーザIDに関連付けられて前記ユーザ情報記憶部に記憶されているパスワードとが一致しないと判定した場合、ログイン認証後に、前記クライアント端末に正規ページに偽装したダミーページを表示させると決定する、ことを特徴とする。
また、上記課題を解決するため、本発明に係る認証システムは、クライアント端末と、該クライアント端末とネットワークを通じて接続する認証サーバとを備える認証システムであって、前記クライアント端末は、前記クライアント端末の端末情報を記憶している端末情報記憶部と、前記認証サーバから受信した情報を表示する表示部と、を備え、前記認証サーバは、ユーザIDに関連付けて、パスワードと、登録端末情報とを記憶しているユーザ情報記憶部と、ログイン認証時に、前記クライアント端末から受信したユーザID、パスワード及び該クライアント端末の端末情報と、前記ユーザ情報記憶部のユーザID、パスワード及び登録端末情報とが一致するか否かを判定する制御部と、前記制御部の判定結果に基づき、前記クライアント端末にログイン認証後に表示させるページを決定する判定部と、を備え、前記判定部は、前記制御部が、前記クライアント端末から受信した該クライアント端末の端末情報と、受信したユーザIDに関連付けられて前記ユーザ情報記憶部に記憶されている登録端末情報とが一致しないと判定し、かつ、前記クライアント端末から受信したパスワードと、受信したユーザIDに関連付けられて前記ユーザ情報記憶部に記憶されているパスワードとが一致しないと判定した場合、ログイン認証後に、前記クライアント端末の前記表示部に正規ページに偽装したダミーページを表示させると決定する、ことを特徴とする。
また、上記課題を解決するため、本発明に係る認証方法は、クライアント端末と、該クライアント端末とネットワークを通じて接続する認証サーバとを備える認証システムにおいて、ログイン認証を行う認証方法であって、前記クライアント端末によって、前記認証サーバに、ユーザID、パスワード及び前記クライアント端末の端末情報を送信するステップと、前記認証サーバによって、前記クライアント端末から受信したユーザID、パスワード及び該クライアント端末の端末情報と、ユーザのユーザID、パスワード及び登録端末情報とが一致するか否かを判定するステップと、前記判定するステップにおいて、前記クライアント端末から受信した該クライアント端末の端末情報と、受信したユーザIDに関連付けられている登録端末情報とが一致しないと判定し、かつ、前記クライアント端末から受信したパスワードと、受信したユーザIDに関連付けられているパスワードとが一致しないと判定した場合、ログイン認証後に、前記クライアント端末に正規ページに偽装したダミーページを表示させると決定するステップと、を含む。
本発明に係る認証サーバ、認証システム及び認証方法によれば、自動ログインに対し、ユーザID及びパスワードによるログイン認証の成功可否を不明確にすることができる。
本発明の一実施形態に係る認証システムの構成の一例を示す図である。 本発明の一実施形態に係るユーザ情報記憶部が記憶するユーザ情報の一例を示す図である。 本発明の一実施形態に係る認証システムの動作の一例を示すフローチャートである。
以下、本発明の一実施形態について、図面を参照して説明する。
[システム構成]
図1は、本発明の一実施形態に係る認証システムの構成の一例を示す図である。図1に示す認証システム1は、クライアント端末10と、クライアント端末10とネットワーク30を通じて接続し、ネットワーク30上のWebサイトへのログイン認証を行う認証サーバ20と、登録端末40とを備える。登録端末40は、Webサイトを利用するユーザが認証サーバ20に対してユーザIDに関連付けて事前に登録している端末である。登録端末40としては、例えば、ユーザが通常使用している端末を、認証サーバ20に対して登録することができ、例えば、スマートフォンを登録端末として登録できる。クライアント端末10、認証サーバ20、登録端末40は、それぞれ、ネットワーク30を介して接続されている。なお、図1では省略しているが、登録端末40の内部構成はクライアント端末10と同様の構成である。また、図1では1台のクライアント端末10を示しているが、クライアント端末10は複数台であってもよい。
クライアント端末10は、制御部11と、表示部12と、入力部13と、通信部14と、端末情報記憶部15とを備える。なお、本発明に係るクライアント端末10の各機能を説明するが、クライアント端末10が備える他の機能を排除することを意図したものではないことに留意する。クライアント端末10は、例えばコンピュータとして構成することができ、クライアント端末10の各機能を実現する処理内容を記述したプログラムを、当該コンピュータの端末情報記憶部15又は図示しない他の記憶部に格納しておき、当該コンピュータの中央演算処理装置(CPU(Central Processing Unit))によって、このプログラムを読み出して実行させることで実現することができる。
制御部11は、クライアント端末10全体を制御及び管理するものであり、例えばプロセッサにより構成することができる。
制御部11は、ログイン認証の際に、入力部13がユーザからユーザID及びパスワードの入力を受け付けると、端末情報記憶部15に記憶されているクライアント端末10の端末情報を読み出し、通信部14を介して、ユーザID及びパスワードと共に、端末情報を、認証サーバ20に送信する。
表示部12は、認証サーバ20から受信した情報等の各種情報を表示する。表示部12は、例えばWebブラウザによって、ログイン認証の際にユーザID及びパスワードを入力するログインページ、ログイン認証が成功した際のページ(以下、「正規ページ」という)、正規ページに偽装したダミーページ、ログイン認証が失敗した際のログインエラーページ等を表示する。なお、図1では、表示部12は、クライアント端末10の内部に在るが、クライアント端末10の外部に在ってもよい。
入力部13は、ユーザからの入力を受け付ける。入力部13は、例えば、キーボード、タッチパネル等である。入力部13は、例えば、ログイン認証時に、ユーザからユーザID及びパスワードの入力を受け付ける。
通信部14は、ネットワーク30を介して、認証サーバ20と通信する。
端末情報記憶部15は、クライアント端末10の端末情報を記憶している。端末情報とは、端末を識別する情報であり、例えば、MAC(Media Access Control)アドレス、電話番号、端末が採用するOS、ブラウザの種類、IP(Internet Protocol)アドレス等である。
認証サーバ20は、制御部21と、ユーザ情報記憶部22と、判定部23と、通知部24と、通信部25とを備える。なお、本発明に係る認証サーバ20の各機能を説明するが、認証サーバ20が備える他の機能を排除することを意図したものではないことに留意する。認証サーバ20は、例えばコンピュータとして構成することができ、認証サーバ20の各機能を実現する処理内容を記述したプログラムを、当該コンピュータのユーザ情報記憶部22又は図示しない他の記憶部に格納しておき、当該コンピュータの中央演算処理装置(CPU)によって、このプログラムを読み出して実行させることで実現することができる。
制御部21は、認証サーバ20全体を制御及び管理するものであり、例えばプロセッサにより構成することができる。
制御部21は、クライアント端末10からユーザID、パスワード及び端末情報を受信すると、認証処理を行う。具体的には、制御部21は、受信したユーザIDがユーザ情報記憶部22に登録(記憶)されているか否かの判定を行う。制御部21は、受信したユーザIDが登録されていないと判定した場合、クライアント端末10の表示部12に表示されているログインページを、ログインエラーページに遷移させると決定する。また、制御部21は、ユーザIDが登録されていると判定した場合は、受信した端末情報が、ユーザIDに関連付けて登録されている登録端末情報であるか否かの判定を行う。また、制御部21は、受信したパスワードが正しいか否かの判定を行う。
ユーザ情報記憶部22は、ユーザのユーザID及びパスワードと、登録端末40の登録端末情報(以下、合せて「ユーザ情報」という)を記憶している。図2に、ユーザ情報記憶部22に記憶されているユーザ情報の一例を示す。登録端末情報は、登録端末40を識別する情報であり、予めユーザ情報記憶部22に記憶されている。登録端末情報は、例えば、ユーザがユーザID及びパスワードの登録を認証サーバ20に対して行った際に使用していた端末の情報を、自動的に登録端末情報としてユーザ情報記憶部22に記憶したものであってもよい。登録端末情報として登録する情報は、上述のクライアント端末10の端末情報と同様のものであり、MACアドレス、電話番号、端末が採用するOS、ブラウザの種類、IPアドレス等である。なお、ユーザ情報記憶部22には、パスワードの代わりに、または、パスワードと併せて、パスワードのハッシュ、暗号化したパスワード、認証用の証明書等の情報を記憶してもよい。
判定部23は、ログイン認証の際、制御部21による認証結果に基づいて、クライアント端末10の表示部12に表示されているログインページから、どのページに遷移させるかを決定する。具体的には、判定部23は、クライアント端末10から受信した端末情報がユーザIDに関連付けて登録されている登録端末情報と一致し、かつパスワードが正しい場合、ログインページから正規ページに遷移させると決定する。また、判定部23は、受信した端末情報がユーザIDに関連付けて登録されている登録端末情報と一致し、かつパスワードが正しくない場合、ログインエラーページに遷移させると決定する。また、判定部23は、受信した端末情報がユーザIDに関連付けて登録されている登録端末情報と一致せず、かつパスワードが正しい場合、ログインページから正規ページに遷移させると決定する。また、判定部23は、受信した端末情報がユーザIDに関連付けて登録されている登録端末情報と一致せず、かつパスワードが正しくない場合、ログインページから正規ページに偽装したダミーページに遷移させると決定する。
ここで、ダミーページについて説明する。ダミーページとは、正規ページに偽装したページである。例えば、ダミーページは、正規ページに表示される登録ユーザに関する情報(例えば、氏名、住所、生年月日、性別、在籍する学校、勤務する企業、クレジットカード情報、保有資産等)を偽の情報に置き換えて偽装して表示させたものである。また、攻撃者が持つパスワードリストに、ユーザID及びパスワード以外にも、氏名や住所等の個人情報が含まれる可能性があると想定される場合もある。これを考慮して、ダミーページには、登録ユーザに関する情報のうち、提供するWebサービスに関するもの(例えば、クレジットカード情報、保有資産等)のみを偽装して表示させるようにしてもよい。
通知部24は、クライアント端末10によるログイン認証の成否結果を、通信部25を介して登録端末40に通知する。通知部24の機能の詳細については後述する。
通信部25は、ネットワーク30を介して、クライアント端末10及び登録端末40と通信する。
以下、本発明の一実施形態に係る認証システム1の動作を説明する。
[システム動作]
図3は、本発明の一実施形態に係る認証システムの動作の一例を示すフローチャートである。本発明の一実施形態に係る認証システム1では、ユーザID及びパスワードによるログイン認証に加えて、クライアント端末10から受信した端末情報がユーザIDに関連付けて登録されている登録端末情報と一致するか否かの判定も行われる。
まず、ユーザが、例えばWebブラウザによって、クライアント端末10の表示部12に表示されているログインページから、クライアント端末10の入力部13を介して、ユーザID及びパスワードを入力する。入力部13がユーザID及びパスワードの入力を受け付けると、クライアント端末10の制御部11は、端末情報記憶部15に記憶されているクライアント端末10の端末情報を読み出し、クライアント端末10の通信部14を介して、ユーザID、パスワード及び端末情報を、認証サーバ20に送信する。
すると、認証サーバ20の制御部21は、クライアント端末10から受信したユーザIDが登録されているか否か判定する(ステップS101)。受信したユーザIDが登録されていないと判定した場合(ステップS101:No)、制御部21は、クライアント端末10に表示されているログインページを、ログインエラーページに遷移させると決定し(ステップS102)、処理を終了する。一方、受信したユーザIDが登録されていると判定した場合(ステップS101:Yes)、制御部21は、ステップS103の処理に進む。
次に、制御部21は、クライアント端末10から受信した端末情報が、ユーザIDに関連付けて登録されている登録端末情報であるか否か判定する(ステップS103)。制御部21は、例えば、図2に示すテーブル構成のユーザ情報を用いて、受信した端末情報と、ユーザIDに対応する登録端末情報とが一致するか否か照合し、一致する場合は端末情報が登録されていると判定し、一致しない場合は端末情報が登録されていないと判定する。受信した端末情報がユーザIDに対応する登録端末情報と一致すると判定した場合(ステップS103:Yes)、制御部21は、ステップS104の処理に進む。一方、受信した端末情報がユーザIDに対応する登録端末情報と一致しないと判定した場合(ステップS103:No)、制御部21は、ステップS107の処理に進む。また、制御部21は、ステップS103の処理による結果(受信した端末情報がユーザIDに対応する登録端末情報と一致するか否か)を、認証サーバ20の判定部23に通知する。
ステップS104の処理では、制御部21は、クライアント端末10から受信したパスワードが正しいか否か判定する。制御部21は、受信したパスワードと、ユーザ情報記憶部22のパスワードが一致するか否か照合し、一致する場合はパスワードが正しいと判定し、一致しない場合は正しくないと判定する。受信したパスワードが正しいと制御部21が判定した場合(ステップS104:Yes)、判定部23は、クライアント端末10の表示部12に表示されているログインページを、正規ページに遷移させると決定し(ステップS105)、処理を終了する。一方、受信したパスワードが正しくないと制御部21が判定した場合(ステップS104:No)、判定部23は、クライアント端末10に表示されているログインページを、ログインエラーページに遷移させると決定し(ステップS106)、処理を終了する。
このように、認証サーバ20がログイン認証を行う際、クライアント端末10から受信した端末情報がユーザ情報記憶部22の登録端末情報と一致し、ユーザが、通常利用している環境からアクセスを行っていると判断された場合、ログイン認証が失敗しても、ログインエラーページに遷移し、ダミーページへの遷移は、行われない。
ステップS107の処理では、制御部21は、ステップS104の処理と同様にして、クライアント端末10から受信したパスワードが正しいか否か判定する。受信したパスワードが正しいと制御部21が判定した場合(ステップS107:Yes)、判定部23は、クライアント端末10の表示部12に表示されているログインページを、正規ページに遷移させると決定し(ステップS108)、処理を終了する。一方、受信したパスワードが正しくないと制御部21が判定した場合(ステップS107:No)、判定部23は、クライアント端末10の表示部12に表示されているログインページを、ダミーページに遷移させると決定し(ステップS109)、処理を終了する。
このように、認証サーバ20がログイン認証を行う際、クライアント端末10から受信した端末情報がユーザ情報記憶部22の登録端末情報と一致せず、かつ、クライアント端末10から受信したユーザID及びパスワードがユーザ情報記憶部22のユーザID及びパスワードと一致しない場合、クライアント端末10の表示部12に表示されているログインページが、ダミーページに遷移する。
以上のように、クライアント端末10が登録端末40ではなく、かつ、ユーザID及びパスワードによるログイン認証が失敗した場合、認証サーバ20は、クライアント端末10の表示部12を介して、ユーザへ、正規ページに偽装したダミーページを表示する。このとき、正規ユーザは、登録ユーザの情報を知っているので、表示されているページの情報から、そのページが正規ページではなくダミーページであると判別でき、ログイン認証に失敗したことを知ることができる。一方で、ユーザID及びパスワード以外の情報を保持していない不正ユーザ(攻撃者)は、表示されたページが、正規ページかダミーページか判別することができない。このため、ログイン作業を自動化している攻撃者に対して、ユーザID及びパスワードによるログイン認証の成功可否を不明確なものにすることができる。また、これにより、不正ログイン成功率が抑えられるため、攻撃コストが上がり、パスワードリスト攻撃を沈静化させることができる。
なお、正規ページにおいて偽装する情報を、正規ページに表示される情報の一部のみに限定する場合がある。この場合、正規ユーザであっても、表示されるページが、正規ページかダミーページか判別が困難になることがあり得る。これに対応するため、例えば、以下の判別方法を採用することができる。
[判別方法1]
認証サーバ20を用いるサービスサイト提供者が、予め画像を複数用意し、その中から1枚をユーザに選択させる。そして、正規ページには、ユーザが選択した画像を設置し、ダミーページには、ユーザが選択しなかった画像の中からランダムに抽出された1枚を設置する。このランダムに抽出される画像は、ユーザが画像を選択する際に、同時に決定される。
[判別方法2]
ユーザが、登録端末40以外のクライアント端末10から、認証サーバ20に対してログイン認証を行った場合、認証サーバ20の通知部24が、通信部25を介して、登録端末40に、ログイン認証の成否を判別するログイン情報(例えば、ログイン時間、ログイン認証の成否)を通知する。例えばユーザが登録端末40を所持しながらクライアント端末10によりログイン認証を行っている場合、この通知により、ユーザは、ログイン認証の成否を判別することができる。通知は、例えば、登録端末40がスマートフォンや携帯電話である場合、SMS(Short Message Service)により行うことができる。
判別方法1や判別方法2のように、ログイン認証後に表示されるページが、正規ページかダミーページか判別できるもの(画像、登録端末40への通知等)を、ユーザID及びパスワード登録によるアカウント設定時に同時に設定をしておくことで、正規ユーザは、容易にログイン認証の成功可否を判断することができる。
[ログイン認証の成否に関わらずダミーページに誘導]
登録端末40以外のクライアント端末10から認証サーバ20に対してログイン認証が行われた場合、ログイン認証の成否に関わらず、クライアント端末10の表示部12を介してユーザへ表示されるページを、ダミーページに遷移させてもよい。このとき、認証サーバ20の判定部23は、認証サーバ20の制御部21によって、クライアント端末10の端末情報が登録されていないと判定された場合、表示部12に表示されているログインページを、ダミーページに遷移させると決定する。またこの際のログイン認証が成功した場合に、クライアント端末10からの再ログイン認証が成功した場合に表示されるページを、ログインページから正規ページに遷移させる手続きを採用することができる。この手続きは、登録端末40以外のクライアント端末10から認証サーバ20に対してログイン認証が行われた場合、まず、認証サーバ20の通知部24が、認証サーバ20の通信部25を介して、登録端末40に、ログイン認証の成否を判別するログイン情報(例えば、ログイン時間、ログイン認証の成否)を通知する。通知は、上記[判別方法2]の通知と同様に、例えば、登録端末40がスマートフォンや携帯電話である場合、SMS等により行うことができる。また、この通知により、ユーザは、ログイン認証の成否を判別することができる。そしてさらに、ログイン認証が成功した場合、通知部24は、上記の通知と併せて、クライアント端末10からの再ログイン認証の成功時において、正規ページを表示させることを許可させるか否かを選択させる通知を行う。ユーザが、正規ページの表示を許可することを選択した場合、クライアント端末10からの再ログイン認証が成功すると、判定部23は、正規ページに遷移させると決定する。
本発明を諸図面や実施例に基づき説明してきたが、当業者であれば本開示に基づき種々の変形や修正を行うことが容易であることに注意されたい。従って、これらの変形や修正は本発明の範囲に含まれることに留意されたい。例えば、各構成部、各ステップ等に含まれる機能等は論理的に矛盾しないように再配置可能であり、複数の構成部やステップ等を1つに組み合わせたり、或いは分割したりすることが可能である。また、本発明について装置を中心に説明してきたが、本発明は装置が備えるプロセッサにより実行される方法、プログラム、又はプログラムを記録した記憶媒体としても実現し得るものであり、本発明の範囲にはこれらも包含されるものと理解されたい。
1 認証システム
10 クライアント端末
11 制御部
12 表示部
13 入力部
14 通信部
15 端末情報記憶部
20 認証サーバ
21 制御部
22 ユーザ情報記憶部
23 判定部
24 通知部
25 通信部
30 ネットワーク
40 登録端末

Claims (6)

  1. クライアント端末とネットワークを通じて接続する認証サーバであって、
    ユーザIDに関連付けて、パスワードと、登録端末情報とを記憶しているユーザ情報記憶部と、
    ログイン認証時に、前記クライアント端末から受信したユーザID、パスワード及び該クライアント端末の端末情報と、前記ユーザ情報記憶部のユーザID、パスワード及び登録端末情報とが一致するか否かを判定する制御部と、
    前記制御部の判定結果に基づき、前記クライアント端末にログイン認証後に表示させるページを決定する判定部と、を備え、
    前記判定部は、前記制御部が、前記クライアント端末から受信した該クライアント端末の端末情報と、受信したユーザIDに関連付けられて前記ユーザ情報記憶部に記憶されている登録端末情報とが一致しないと判定し、かつ、前記クライアント端末から受信したパスワードと、受信したユーザIDに関連付けられて前記ユーザ情報記憶部に記憶されているパスワードとが一致しないと判定した場合、ログイン認証後に、前記クライアント端末に正規ページに偽装したダミーページを表示させると決定する、
    ことを特徴とする認証サーバ。
  2. 前記判定部は、前記制御部が、前記クライアント端末から受信した該クライアント端末の端末情報と、受信したユーザIDに関連付けられて前記ユーザ情報記憶部に記憶されている登録端末情報とが一致しないと判定し、かつ、前記クライアント端末から受信したパスワードと、受信したユーザIDに関連付けられて前記ユーザ情報記憶部に記憶されているパスワードとが一致すると判定した場合も、ログイン認証後に、前記クライアント端末に正規ページに偽装したダミーページを表示させると決定する、ことを特徴とする請求項1に記載の認証サーバ。
  3. ログイン認証の成否を、受信したユーザIDに関連付けられて前記ユーザ情報記憶部に記憶されている登録端末情報を有する登録端末に通知する通知部をさらに備える、請求項1または2に記載の認証サーバ。
  4. 前記ダミーページは、前記ユーザが前記ユーザID及びパスワードの登録を前記認証サーバに対して行った際に、所定の方法に基づいて予め設定される、ことを特徴とする請求項1〜3のいずれか一項に記載の認証サーバ。
  5. クライアント端末と、該クライアント端末とネットワークを通じて接続する認証サーバとを備える認証システムであって、
    前記クライアント端末は、
    前記クライアント端末の端末情報を記憶している端末情報記憶部と、
    前記認証サーバから受信した情報を表示する表示部と、を備え、
    前記認証サーバは、
    ユーザIDに関連付けて、パスワードと、登録端末情報とを記憶しているユーザ情報記憶部と、
    ログイン認証時に、前記クライアント端末から受信したユーザID、パスワード及び該クライアント端末の端末情報と、前記ユーザ情報記憶部のユーザID、パスワード及び登録端末情報とが一致するか否かを判定する制御部と、
    前記制御部の判定結果に基づき、前記クライアント端末にログイン認証後に表示させるページを決定する判定部と、を備え、
    前記判定部は、前記制御部が、前記クライアント端末から受信した該クライアント端末の端末情報と、受信したユーザIDに関連付けられて前記ユーザ情報記憶部に記憶されている登録端末情報とが一致しないと判定し、かつ、前記クライアント端末から受信したパスワードと、受信したユーザIDに関連付けられて前記ユーザ情報記憶部に記憶されているパスワードとが一致しないと判定した場合、ログイン認証後に、前記クライアント端末の前記表示部に正規ページに偽装したダミーページを表示させると決定する、
    ことを特徴とする認証システム。
  6. クライアント端末と、該クライアント端末とネットワークを通じて接続する認証サーバとを備える認証システムにおいて、ログイン認証を行う認証方法であって、
    前記クライアント端末によって、前記認証サーバに、ユーザID、パスワード及び前記クライアント端末の端末情報を送信するステップと、
    前記認証サーバによって、
    前記クライアント端末から受信したユーザID、パスワード及び該クライアント端末の端末情報と、ユーザのユーザID、パスワード及び登録端末情報とが一致するか否かを判定するステップと、
    前記判定するステップにおいて、前記クライアント端末から受信した該クライアント端末の端末情報と、受信したユーザIDに関連付けられている登録端末情報とが一致しないと判定し、かつ、前記クライアント端末から受信したパスワードと、受信したユーザIDに関連付けられているパスワードとが一致しないと判定した場合、ログイン認証後に、前記クライアント端末に正規ページに偽装したダミーページを表示させると決定するステップと、
    を含む認証方法。
JP2015078588A 2015-04-07 2015-04-07 認証サーバ、認証システム及び認証方法 Pending JP2016200869A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015078588A JP2016200869A (ja) 2015-04-07 2015-04-07 認証サーバ、認証システム及び認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015078588A JP2016200869A (ja) 2015-04-07 2015-04-07 認証サーバ、認証システム及び認証方法

Publications (1)

Publication Number Publication Date
JP2016200869A true JP2016200869A (ja) 2016-12-01

Family

ID=57422574

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015078588A Pending JP2016200869A (ja) 2015-04-07 2015-04-07 認証サーバ、認証システム及び認証方法

Country Status (1)

Country Link
JP (1) JP2016200869A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022003465A (ja) * 2020-06-23 2022-01-11 デジタルア−ツ株式会社 情報処理装置、情報処理方法、及び情報処理プログラム
CN114004469A (zh) * 2021-10-19 2022-02-01 山东云享天空科技服务有限公司 一种基于大数据的个人职业征信认证系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022003465A (ja) * 2020-06-23 2022-01-11 デジタルア−ツ株式会社 情報処理装置、情報処理方法、及び情報処理プログラム
JP7142664B2 (ja) 2020-06-23 2022-09-27 デジタルアーツ株式会社 情報処理装置、情報処理方法、及び情報処理プログラム
CN114004469A (zh) * 2021-10-19 2022-02-01 山东云享天空科技服务有限公司 一种基于大数据的个人职业征信认证系统

Similar Documents

Publication Publication Date Title
US10515232B2 (en) Techniques for facilitating secure, credential-free user access to resources
US10554655B2 (en) Method and system for verifying an account operation
US9942220B2 (en) Preventing unauthorized account access using compromised login credentials
US9680836B2 (en) Generation of a visually obfuscated representation of an alphanumeric message that indicates availability of a proposed identifier
US10230736B2 (en) Invisible password reset protocol
US9870464B1 (en) Compromised authentication information clearing house
US9491155B1 (en) Account generation based on external credentials
US9838384B1 (en) Password-based fraud detection
US11070556B2 (en) Context-based possession-less access of secure information
US9628282B2 (en) Universal anonymous cross-site authentication
CA2751490C (en) Using social information for authenticating a user session
US8984649B2 (en) Method and system for authenticating user access to a restricted resource across a computer network
US9824207B1 (en) Authentication information update based on fraud detection
US20210099431A1 (en) Synthetic identity and network egress for user privacy
CN106254319B (zh) 一种轻应用登录控制方法和装置
US11762942B1 (en) Systems and methods for online identity management
US11943222B2 (en) Systems and methods for multi-device multi-factor authentication
JPWO2016117500A1 (ja) 認証装置、方法、システムとプログラム並びにサーバ装置
JP6494990B2 (ja) サービスアカウントに対するユーザ認証方法とユーザ認証システム、および記憶媒体
JP2016200869A (ja) 認証サーバ、認証システム及び認証方法
Tolbert et al. Exploring Phone-Based Authentication Vulnerabilities in Single Sign-On Systems
JP2007065789A (ja) 認証システム及び方法
KR20150104667A (ko) 인증 방법
JP2017045100A (ja) 移動通信端末、アプリ判定システム、及び移動通信端末の制御方法