JP4844106B2 - ユーザ認証制御のためのプログラム、方法及びコンピュータシステム - Google Patents

ユーザ認証制御のためのプログラム、方法及びコンピュータシステム Download PDF

Info

Publication number
JP4844106B2
JP4844106B2 JP2005348836A JP2005348836A JP4844106B2 JP 4844106 B2 JP4844106 B2 JP 4844106B2 JP 2005348836 A JP2005348836 A JP 2005348836A JP 2005348836 A JP2005348836 A JP 2005348836A JP 4844106 B2 JP4844106 B2 JP 4844106B2
Authority
JP
Japan
Prior art keywords
user
state
password
user authentication
authentication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005348836A
Other languages
English (en)
Other versions
JP2007156675A (ja
Inventor
勝行 近藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2005348836A priority Critical patent/JP4844106B2/ja
Publication of JP2007156675A publication Critical patent/JP2007156675A/ja
Application granted granted Critical
Publication of JP4844106B2 publication Critical patent/JP4844106B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、コンピュータシステムにおけるユーザ認証に関し、特にアカウントのロックアウト制御に関する。
ユーザ認証を行うコンピュータシステムにおいては、必ず悪意のユーザによる攻撃が想定される。そのため、この種のシステムにおいては、アカウントロックアウト機能が設けられていることが一般的である。アカウントロックアウト機能は、ログイン試行が短期間の間に何度か続けて失敗すると、攻撃と判断してログインが試みられたアカウントをロックアウトし、そのアカウントでのログインを認めないよう制御する機能である。攻撃に曝されたアカウントをロックアウトすることで、そのアカウントのパスワードが破られる危険性を低減できる。
このように、アカウントロックアウト機能はシステムへの不正侵入を防ぐ意味で重要な役割を果たすが、欠点もある。例えば、悪意あるユーザが他人のアカウントに対して適当なパスワードを用いてログイン試行を繰り返すことで、そのアカウントをロックアウトさせることが起こり得る。また、悪意のあるユーザによらなくとも、例えば一般のユーザが自分のユーザIDを間違って入力しログイン試行を繰り返すと、その間違ったユーザIDがたまたま他人のユーザIDに一致していた場合、後者がアカウントロックアウト状態となってしまう。
いったんアカウントがロックアウトされると、システム管理者などシステムの管理情報を操作する権限を持った人に要請してアカウントが利用可能な状態に変更してもらうまでは、ユーザは自分のアカウントでログインができなくなるため、正当なユーザが不自由を強いられる。
特にシステム管理者のアカウントがロックアウト状態となると、そのような解除操作を含めシステム管理上の様々な操作ができないため、大きな問題となる。これに対する対策として、システム管理者のアカウントはロックアウトしない設定とすることも考えられるが、こうすると逆にパスワードを破られるリスクが増大する。
特許文献1には、1つのユーザアカウントに対して複数のパスワードを設定可能とし、パスワードの不正入力回数が許容値を超えるごとに、ユーザに入力させるパスワードの個数を増やしていく方式が示される。
この方式の場合、1つ目のパスワードが破られても、2つ目のパスワードが破られない限り不正アクセスを防ぐことができる。しかし、1つ目のパスワードが破られた状態のまま、うっかりそのパスワードを変更せずに通常状態に復帰してしまった場合、その後の不正アクセスが容易になってしまうという問題がある。2つ目、3つ目のパスワードが破られ、それが変更されずにおかれると、不正アクセスのリスクが益々増大する。
特許文献2には、認証用のパスワードを変更するための第2のパスワードが設定可能な装置が示される。同文献の第93段落に示されるように、この装置では、第1パスワードの入力間違いが所定回数続いた場合、当該ユーザアカウントを使用不可状態とし、その後ユーザから管理者へ連絡があった場合、管理者が第2パスワードを第1パスワードにコピーし、第2パスワードでのログインを認める。第2パスワードの有効期間は比較的短い期間(例えば一日)に設定され、その間にユーザが第2パスワードでログインし、第1パスワードを変更するように促す。
特許文献2の方式では、結局第1パスワードの入力間違いが続くとユーザアカウントがロックアウト状態になってしまい、第2パスワードを有効にするには、利用者が管理者に報告を行い、管理者がそれに応じて第2パスワードを有効にする操作を行う必要があった。
特開2000−259276号公報 特開2004−145896号公報
本発明は、上記従来技術の課題の少なくとも一つに対する解決又は改善をもたらそうとしたものである。
本発明の1つの側面では、システムは、ユーザから入力された第1のユーザ認証情報に基づくユーザ認証において、第1の不正アクセス条件が満足された場合に、当該ユーザのアカウントの第1状態を認証情報要変更状態に移行させ、第1状態が認証情報要変更状態にあるユーザから正しい第1のユーザ認証情報が入力された場合に、第2のユーザ認証情報と、第1のユーザ認証情報に対応する第1の変更情報と、の入力をユーザに促し、ユーザから入力された第2のユーザ認証情報に基づき第2のユーザ認証を実行し、第2のユーザ認証において第2の不正アクセス条件が満足された場合に、当該ユーザのアカウントの第2状態を通常状態から認証情報要変更状態に移行させ、第2のユーザ認証が成功した場合に、第2状態が通常状態であれば、第1の変更情報を用いて第1のユーザ認証情報を変更してユーザにログインを許可し、第2のユーザ認証が成功した場合に、第2状態が認証情報要変更状態であれば、第1の変更情報による第1のユーザ認証情報の変更は行わずに、第3のユーザ認証情報と、第2のユーザ認証情報に対応する第2の変更情報と、の入力をユーザに促し、ユーザから入力された第3のユーザ認証情報に基づき第3のユーザ認証を実行し、第3のユーザ認証が成功した場合に、第1の変更情報を用いて第1のユーザ認証情報を変更し、第2の変更情報を用いて第2のユーザ認証情報を変更してユーザにログインを許可し、第3のユーザ認証が失敗した場合には、第1の変更情報による第1のユーザ認証情報の変更、及び、第2の変更情報による第2のユーザ認証情報の変更、を行わないまま、ユーザのログインを拒否する
参考例では、システムは、第2のユーザ認証が成功した場合に、当該ユーザのアカウントの第1状態を通常状態へと復帰させる。
参考例では、システムは、前記第2のユーザ認証において第2の不正アクセス条件が満足された場合に、当該ユーザのアカウントの第2状態をパスワード要変更状態に移行させ、第2状態がパスワード要変更状態にあるユーザから第1及び正しい第2パスワードが共に正しく入力された場合に、第3のユーザ認証情報と、第2のユーザ認証情報に対応する第2の変更情報と、の入力をユーザに促し、ユーザから入力された第3のユーザ認証情報に基づき第3のユーザ認証を実行し、第3のユーザ認証が成功した場合に、前記第1の変更情報を用いて前記第1のユーザ認証情報を変更し、第2の変更情報を用いて第2のユーザ認証情報を変更する。
参考例では、システムは、第Nのユーザ認証において第Nの不正アクセス条件が満足された場合に、当該ユーザのアカウントの第N状態をパスワード要変更状態に移行させ、第N状態がパスワード要変更状態にあるユーザから第1〜第Nスワードのすべてが正しく入力された場合に、第(N+1)のユーザ認証情報と、第Nのユーザ認証情報に対応する第Nの変更情報と、の入力をユーザに促し、ユーザから入力された第(N+1)のユーザ認証情報に基づき第(N+1)のユーザ認証を実行し、第(N+1)のユーザ認証が成功した場合に、第1〜第Nの変更情報を用いて第1〜第Nのユーザ認証情報をそれぞれ変更する。
の態様では、システムは、特別ユーザを登録し、登録された特別ユーザについて前記第1の不正アクセス条件が満足された場合には、当該ユーザのアカウントの第1状態をパスワード要変更状態とし、特別ユーザ以外のユーザについて前記第1の不正アクセス条件が満足された場合には、当該ユーザのアカウントをロックアウト状態とする。
以下、図面を参照して、本発明の実施の形態(以下「実施形態」とも呼ぶ)について説明する。
本実施形態のユーザ認証方法は、図1に示すように、インターネットやLAN(ローカルエリアネットワーク)などのネットワーク4を介してクライアント2に情報処理サービスを提供するサーバ6にて実行される。一例を挙げるならば、サーバ6は、ウェブサービスを提供するウェブサーバであり、この場合クライアント2はユーザのPC(パーソナルコンピュータ)上で実行されるウェブブラウザである。もちろん、サーバ6がクライアント2に提供するサービスは、これに限定されるものではない。サーバ6は、他のサーバに対するユーザのログイン認証を代行するサービスを行うものであってもよい。
サーバ6は、図2に示すような認証モジュールを備える。すなわち、この認証モジュールは、制御部10,画面生成部12,認証部14,パスワード更新部16,第2パスワード検証部18,及び認証データ保持部20を備える。
制御部10は、ユーザからのログイン要求に対する処理を制御する。特に、制御部10は、各ユーザのアカウントについて、当該アカウントに対するログイン操作の試行回数、当該アカウントの現在の状態或いはモード(通常状態 / ロックアウト状態 / パスワード要変更状態)を基に、当該アカウントの状態の遷移を制御する。
ここで、ロックアウト状態は、(仮にユーザが正しいパスワードを入力したとしても)当該アカウントに対するログインが認められない状態であり、従来のアカウントロックアウト制御でのロックアウト状態と同じものである。通常状態は、ユーザが正しいパスワードを入力すればログインが認められる状態であり、従来のアカウントロックアウト制御におけるロックアウト状態の対立概念である。
これに対し、パスワード要変更状態は、本実施形態にて新たに導入した状態であり、ユーザのログインパスワードの変更が要求される状態である。本実施形態では、システム管理者などの特別なユーザをあらかじめサーバ6に登録しておき、その特別ユーザのアカウントについては、従来のアカウントロックアウト制御ならばロックアウト状態とされる条件(不正アクセス条件と呼ぶ。例えば所定数回続けてログイン試行が失敗するなど)が満足されても、ロックアウト状態とせずにパスワード要変更状態とする。パスワード要変更状態のアカウントに対してユーザからログインが試みられた場合、認証モジュールはそれを門前払いせず、ユーザに対してパスワードの変更を促す。このパスワード変更操作を認めるか否かを判定するために、ユーザには第2パスワードの入力を行わせる。なお、パスワード要変更状態の場合の処理を含む、本実施形態のユーザ認証処理の流れについては、後で詳しく説明する。
画面生成部12は、制御部10の要求に応じて、ログイン画面、パスワード変更画面、エラー画面などの各種画面情報を生成して返す処理を行う。
認証部14は、制御部10から渡されたユーザID(例えばユーザ名)とパスワードを、認証データ保持部20が保持するデータと照合し、認証の成否を返す処理を行う。
パスワード更新部16は、認証データ保持部20が各ユーザごとに保持する認証用のパスワード(以下では、第2パスワードとの区別のために、第1パスワードと呼ぶこともある)を、制御部10から渡された新しいパスワードに書き換える処理を行う。
第2パスワード検証部18は、制御部10から渡された第2パスワードが、認証データ保持部20が各ユーザごとに保持する第2パスワード(認証用の第1パスワードを変更するためのパスワード)と一致しているかどうかを検証する処理を行う。
認証データ保持部20は、システムに登録されている各ユーザについて、それぞれユーザ情報レコードを備える。1人のユーザのレコードは、図3に示すように、ユーザID、特別ユーザフラグ、第1パスワード、第2パスワード、ログインの試行回数、当該ユーザアカウントの現在の状態(通常 / ロックアウト / パスワード要変更)の情報を保持する。特別ユーザフラグは、当該ユーザが、ロックアウト状態にしない特別ユーザであるか否かを示すフラグである。システム管理者等のあらかじめ定められた者が制御部10に対して特別ユーザを登録すると、そのユーザの特別ユーザフラグの値が「1」にセットされる。特別ユーザでないユーザ(一般ユーザと呼ぶ)のフラグは「0」である。図示の例ではユーザ"kondou"は特別ユーザであり、"hijikata"及び"okita"は特別ユーザではない。特別ユーザについては、パスワード要変更状態の時の第1パスワード変更のために、第2パスワードが登録される。これに対し、一般ユーザには、第2パスワードの登録は不要である。試行回数は、ユーザからのログイン試行の失敗の連続回数であり、例えば不正アクセス条件が満足されるかどうかの判定のために用いられる。不正アクセス条件としては、例えば、試行回数が許容値を超えたこと、などが例示できる。この許容値は、システム管理者等からあらかじめ設定されるものであり、特別ユーザと一般ユーザとで別の値にしてもよいし、また個々のユーザごとに別の値としてもよい。試行回数は、ログインが成功した場合に0へとクリアされる。また、最後のログイン試行失敗から所定の時間を経過した場合に、試行回数を0にクリアするようにしてもよい。試行回数をクリアする条件となる所定時間は、特別ユーザと一般ユーザとで別の値にしてもよいし、また個々のユーザごとに別の値としてもよい。
制御部10、認証部14、パスワード更新部16及び第2パスワード検証部18は、以上に例示した認証データ保持部20内のデータを用いて、以下に詳細に示すログイン認証処理を実行する。
まず、図4を参照して、サーバ6の認証モジュールが実行する、一般ユーザに対するログイン認証処理を説明する。この処理は、ユーザがクライアント2を操作してサーバ6に対するログイン要求を発することにより開始される(S101)。例えばサーバ6がウェブサーバの場合、ログイン要求は、ユーザがクライアント2(ウェブブラウザ)に対し、サーバ6のログインページのURLを入力することにより、生成される。ログイン要求を受けたサーバ6では、画面生成部12がログイン画面を生成し、これを要求元のクライアント2に提供する。ログイン画面は、例えばウェブページとして提供してもよい。ログイン画面には、ユーザIDと認証用のパスワード(すなわち第1パスワード)とを入力するための入力欄が含まれる。ユーザがクライアント2を操作してログイン画面にユーザID及びパスワードを入力すると、それらユーザID及び第1パスワードがサーバ6に送信される(S103)。サーバ6では、制御部10がそのユーザID及び第1パスワードを受け取り、これらを認証部14に渡してユーザ認証処理の実行を依頼し、その結果を受け取る(S104)。このとき認証部14は、ユーザIDと第1パスワードのペアが認証データ保持部20に保持されているものと一致するか否かを判定し、一致すれば認証成功の回答を、一致しなければ認証失敗の回答を制御部10に返す。制御部10は、当該ユーザIDが示すアカウントの現在の状態を認証データ保持部20から求め、それが通常状態であるかどうかを判定する(S105)。通常状態であれば、制御部10は、次に、認証処理の結果"result"が認証成功"OK"であるか否かを判定する(S106)。認証成功であれば、サーバ6はそのユーザのログインを認める。この場合、制御部10は、当該ユーザの試行回数を示すカウント値"num"をクリアして0にし、サーバ6が提供するサービスのためのアプリケーション画面(例えば提供するウェブサービスのページ)をクライアント2に送信し(S108)、認証処理を終了する(S109)。
ステップS106で、認証結果が失敗と判定された場合は、試行回数"num"を1だけインクリメントし(S201)、その試行回数を許容値と比較する(S202)。試行回数が許容値を超えると、不正アクセス条件が満足されたことになり、制御部10は、当該ユーザの状態をロックアウト状態へと変更する(S203)。試行回数が許容値を超えていなければ、制御部10は画面生成部12に命じて再度ログイン画面をクライアント2へと送らせる(S102)。
なお、ステップS105で通常状態でないと判定された場合は、当該ユーザアカウントはロックアウト状態であるということなので、制御部10は画面生成部12に命じてクライアント2にエラー画面を送らせる(S301)。エラー画面は、例えば当該ユーザがログイン不能な状態である旨を示すメッセージを示した画面でよい。また、システム管理者に連絡することで通常の状態に戻れるなど、状況に対する対処法をエラー画面に表示してもよい。
以上に説明した一般ユーザについての認証処理は、従来のアカウントロックアウト制御と同様のものである。
次に特別ユーザに対する認証処理の手順を、図5を参照して説明する。図5の手順において、ステップS101〜S109、及びステップS201〜S202の処理は、図4の手順と同じである。
図4の手順と異なる点は、まず、ステップS202にて、ログイン試行回数が許容値を超えたと判定された場合に、当該ユーザをロックアウト状態とする代わりに、パスワード要変更状態とすることである(S204)。
パスワード要変更状態のユーザがログイン要求を行った場合、通常状態のユーザの場合と同様のログイン画面が提供され(S102)、ユーザはそれに対してユーザIDと第1パスワードを入力する(S103)。制御部10は、それらユーザIDと第1パスワードを認証部14に渡してユーザ認証を行わせる(S104)。そして、この場合、パスワード要変更状態なので、ステップS105では当該ユーザの現在の状態が通常状態でないと判定され、制御部10の実行する処理はステップS401へと移行する。
ステップS401では、制御部10は、ステップS104で得られる認証結果が成功であるか否かを判定し、成功であれば、画面生成部12に第1パスワード変更画面を生成させ、クライアント2へと送信させる(S402)。第1パスワード変更画面には、第2パスワードの入力欄と、変更した第1パスワードを入力する入力欄とが含まれる。ユーザがクライアント2を操作してそれら各入力欄に第2パスワード及び変更後の第1パスワードを入力すると、それがサーバ6の制御部10に送られる(S403)。制御部10は、そのうちの第2パスワードを第2パスワード検証部18に渡して検証を依頼し、その結果を受け取る(S404)。このとき、第2パスワード検証部18は、制御部10から受け取った第2パスワードと、認証データ保持部20が保持する当該ユーザの第2パスワードとを比較し、両者が一致すれば検証成功の回答を、不一致ならば検証失敗の回答を制御部10に返す。
制御部10は、第2パスワードの検証結果が成功であれば、当該ユーザの第1パスワードを、ステップS403で入力された変更後のパスワードへと変更するよう、パスワード更新部16に命じる(S406)。これに応じ、パスワード更新部16は、認証データ保持部20に登録された当該ユーザの第1パスワードを、変更後の第1パスワードに書き換える。また制御部10は、認証データ保持部20が保持する当該ユーザの現在状態の情報を通常状態へと書き換え、試行回数"num"をクリアする(S406)。
なお、ユーザ認証が失敗したとステップS401で判定された場合は、制御部10は当該ユーザの試行回数を1だけインクリメントし(S501)、ステップS102に戻る。
また、ステップS405で第2パスワードの検証が失敗したと判定された場合、図5の手順では、正しいユーザからのアクセスではないと判断し、制御部10は画面生成部12にエラー画面を生成させ、クライアント2に送らせる(S601)。
以上、実施形態の構成及び処理を説明した。この実施形態では、特別ユーザのアカウントはロックアウト状態とならず、当該ユーザが正しい第1パスワードと正しい第2パスワードを提示すれば、第1パスワードの変更操作が許される。そして、第1パスワードが変更されると、通常状態へと復帰できる。このようなことから、システム管理者等の特別ユーザのアカウントが攻撃や他人のミスなどで不正アクセス条件を満たしてしまっても、正しい特別ユーザがアクセスすれば通常状態へ復帰できるので、特別ユーザがロックアウトされるという従来の問題は解消できる。
また、本実施形態では、パスワード要変更状態となった特別ユーザのアカウントは、第1パスワードの変更操作を経てからでないと通常状態に復帰しない。不正アクセス条件が満たされた場合、攻撃が想定され、第1パスワードが破られた可能性を考慮する必要が出てくるため、第1パスワードを変更することがセキュリティ上好ましい。したがって、本実施形態のように、第1パスワードの変更操作をしないと通常状態に復帰しないようにすれば、第1パスワードをユーザに更新させることができるので、破られた可能性のある第1パスワードがそのまま残ってしまうという問題の発生を低減できる。
なお、図5の処理では、第2パスワードと変更後の第1パスワードの入力欄を1つの画面上に設けたが、この代わりに、まず第2パスワードの入力画面をユーザに提供し、これに対してユーザが正しい第2パスワードを入力した場合に、第1パスワードの変更画面を提供して変更後の第1パスワードを入力させるようにしてもよい。
また、図5の処理では、ステップS405で第2パスワードが正しくないと判定された場合、単にエラー画面をユーザに提供するだけであった。この方式では、例えば第1パスワードを破った攻撃者が第2パスワードを総当たりで調べる可能性が出てくる。
これに対する対策としては、一例として、第2パスワードの試行に対して許容回数を定め、試行回数が許容回数を超えた場合に、当該特別ユーザのアカウントをロックアウト状態としてしまう方式が考えられる。
ただし、この方式では、攻撃者により特別ユーザのアカウントがロックアウトされるという可能性が出てくる。これを避ける別の対策方式として、第1パスワードについての不正アクセス条件が満足された場合と同様の処理を、第2パスワードについての不正アクセスが行われた場合にも適用する方式がある。すなわち、この方式では、特別ユーザに対して第3パスワードを認証データ保持部20に登録しておき、第2パスワードについての不正アクセス条件が満足されると、第3パスワードをユーザに入力させ、正しい第3パスワードが入力されると第2パスワードを変更する。ここでの不正アクセス条件は、第2パスワードの試行回数が所定の許容値を超える、等の条件である。また、ここで用いる許容値は第1パスワードの試行回数の許容値は独立した値であり、システム管理者等があらかじめ設定しておく。
図6にこの方式の処理手順を示す。なお、図6では、紙面サイズの都合上、図5の処理手順と共通する部分は図示を大幅に省略し、図5と相違する部分を中心に図示している。
図6に示したステップのうちステップS401〜S404までは図5の手順と同じである。図6の手順では、ステップS404の後、第2状態が通常状態であるか否かを判定する(S407)。この第2状態は、第2パスワードの保護のために導入した新たな状態である。第2状態は、「通常」と「パスワード要変更」の少なくとも2つの状態をとり得る。なお、区別のため、図4及び図5の手順に現れる現在のアカウントの「状態」のことを、以下では「第1状態」と呼ぶことにする。ステップS407で第2状態が「通常」であると判定されると、ステップS408に進む。
ステップS408は、図5の手順のステップS405と同じ処理であり、ステップS404による第2パスワードのチェック結果を判定する。ステップS408で第2パスワードが正しくないと判定されると、第2パスワードの試行回数"num2"をインクリメントし(S701)、その試行回数を許容値と比較する(S702)。試行回数が許容値を超えなければ、制御部10は、ステップS102に戻って、ログイン画面をユーザに提供し、ユーザIDと第1パスワードの再入力を促す。一方、第2パスワードの試行回数が許容値を超えた場合は、制御部10は、第2状態を「通常」から「パスワード要変更」へと遷移させ(S703)、ステップS102に戻ってログイン画面をユーザに提供する。
ステップS408で第2パスワードが正しいと判定されると、第1パスワードがステップS403で入力された新しいものへと更新され、アカウントの状態(第1状態)を通常状態に復帰させ、試行回数"num"をクリアして0にする(S409)。この場合、ユーザは、ステップS103で正しい第1パスワードを、ステップS403で正しい第2パスワードを、それぞれ入力したことになるので、正当なユーザと判断できる。そこで、制御部10は、ステップS409の後、ユーザにアプリケーション画面を提供する(S108)。
ステップS407で第2状態が通常状態でないと判定された場合、第2状態はパスワード要変更状態である。この場合、制御部10は、ステップS404のチェック結果を判定し(S801)、この結果第2パスワードが正しくないと判定された場合は、第2パスワードの試行回数"num2"を1だけインクリメントする(S901)。
ステップS801の判定で、第2パスワードが正しいと判定されると、制御部10は、第3パスワードの入力欄と、変更した第2パスワードの入力欄とを含んだ第2パスワード変更画面を画面生成部12に生成させ、この画面をクライアント2に送る(S802)。クライアント2でユーザがその画面に第3パスワードと変更後の第2パスワードを入力すると(S803)、制御部10は第3パスワードが正しいものであるか否かの検証を実行する(S804)。この検証は認証データ保持部20を参照して実行する。制御部10は、この検証結果に基づき第3パスワードが正しいか否かを判定し(S805)、正しいと判定した場合は、認証データ保持部20に登録されている当該ユーザの第1パスワード及び第2パスワードを、ステップS403で入力された新たな第1パスワード及びステップS803で入力された新たな第2パスワードへとそれぞれ変更し、第1状態及び第2状態をそれぞれ通常状態へと復帰させ、更に試行回数"num"及び"num2"をそれぞれ0へとクリアする(S806)。この場合、ユーザは、ステップS103で正しい第1パスワードを、ステップS403で正しい第2パスワードを、ステップS803で正しい第3パスワードを、それぞれ入力したことになるので、正当なユーザと判断できる。そこで、制御部10は、ステップS806の後、ユーザにアプリケーション画面を提供する(S108)。
なお、図6の例では、ユーザが入力した第3パスワードがステップS805で正しくないと判定された場合、エラー画面をユーザに送り(S1001)、更にステップS102に戻ってログイン画面を送る。このとき、当該ユーザのアカウントをロックアウトしてもよい。
図6の処理方式では、正しい第3パスワードを知っているユーザでないと第2パスワードも第1パスワードも変更できない。したがって、万が一第1パスワードと第2パスワードの両方が破られても、それだけでは第1パスワードを変更できないので、特別ユーザのアカウントの安全性が向上する。
また、この処理方式では、第2パスワードの不正アクセス条件が満足された場合において、ユーザが第1、第2、及び第3パスワードを共に正しく入力すると、第1及び第2パスワードが更新され、第1及び第2状態が通常状態へと戻る(ステップS806)。すなわちこの処理方式では、アカウントの状態が通常状態に復帰した時点で第1及び第2パスワードが変更されないまま残っている可能性を低減できる。
なお、図6の方式では、3段階のパスワードを用いたが、これを更に拡張することも可能である。例えば、4段階の保護にするには、第3パスワードの保護のために「第3状態」を導入すると共に、第3パスワードについても試行回数"num3"をカウントし、これが許容回数を超えると第3状態を「パスワード要変更」へと切り換えればよい。第3状態が「パスワード要変更」のときに、ユーザが第1〜第3パスワードの全てを正しく入力すれば、制御部10が、第4パスワードと、変更した第3パスワードの入力を求める第3パスワード変更画面を提供し、ユーザにパスワード変更を促すようにすればよい。この場合、図6の手順に対し、ステップS804とステップS805の間に第3状態が「通常」か否かを判定するステップを追加し、この判定結果が「いいえ」となった場合の処理として、S801〜S806及びS901及びS1001と同様の手順を追加し、更にステップS805の判定結果が「いいえ」となった場合の処理として、ステップS1001に代えて、ステップS701〜S703と同様の手順を追加すればよい。この処理では、第4パスワードが正しく入力されると、第1〜第3パスワードが一括して更新されることになる。
一般化すれば、認証データ保持部20には、特別ユーザについては第1〜第M(M≧N+1。M,Nは自然数)までの各パスワードをあらかじめ登録しておく。また、それら第1〜第(M−1)の各パスワードを保護するための状態として、制御部10は、第1〜第(M−1)状態を管理する。そして、第Nパスワードの試行について不正アクセス条件が満足されると、サーバ6は、第N状態をパスワード要変更状態へと切り換える。そして、第N状態がパスワード要変更状態であるときに、ユーザが第1〜第Nパスワードを全て正しく入力すると、第(N+1)パスワードと変更後の第Nパスワードの入力を促す第Nパスワード変更画面をユーザに提供する。この画面に対して正しい第(N+1)パスワードが入力された場合、認証データ保持部20上の第1〜第Nパスワードを全て変更後のものへと更新する。
このような方式を採用すれば、セキュリティポリシー上安全と判断される段階まで、複数のパスワードにより多重的にアカウントを保護できると共に、それら複数のパスワードのうち、不正アクセス条件が満足されたもの(破られている可能性を考慮しなければならないもの)が変更されないまま残るリスクを低減できる。
なお、この方式では、ユーザは比較的複雑なパスワードを複数管理しなければならない。一般ユーザにこのようなパスワード管理を課すのは困難な場合もある。しかし、システム管理者などの特別ユーザであれば、そのような複数のパスワードを管理しても一般ユーザよりは負担が少ない。また限られた特別ユーザであれば、複数のパスワードのメモを金庫などに保管しておき、必要となった時に取り出して参照するなどといった運用も可能なので、実現は比較的容易である。
以上の例では、ユーザの認証情報としてパスワードを用いる場合を例示したが、パスワード以外のユーザ認証情報を用いる場合にも同じ枠組みが適用できる。
本実施形態のサーバ6は、以上に例示した各ユニット10〜20の機能又は処理内容を記述したプログラムを汎用のコンピュータに実行させることにより実現される。このプログラムは、可搬型の記録媒体に記憶された状態でユーザに提供されてもよいし、電気通信網を介したダウンロードによりユーザに提供されてもよい。なお、各ユニット10〜20は、必ずしも1つのコンピュータ上に実現される必要はなく、それら各ユニットが複数のコンピュータに分散され、それらが協調して上述の処理を実行してもよい。
実施形態が適用されるシステムの構成例を示す図である。 サーバの認証モジュールの機能ブロック図である。 認証データ保持部の保持するデータ内容の例を示す図である。 一般ユーザに対する認証処理の手順を示すフローチャートである。 特別ユーザに対する認証処理の手順を示すフローチャートである。 特別ユーザに対する認証処理の手順の別の例の一部を示すフローチャートである。
符号の説明
2 クライアント、4 ネットワーク、6 サーバ、10 制御部、12 画面生成部、14 認証部、16 パスワード更新部、18 第2パスワード検証部、20 認証データ保持部。

Claims (4)

  1. ユーザから入力された第1のユーザ認証情報に基づくユーザ認証において、第1の不正アクセス条件が満足された場合に、当該ユーザのアカウントの第1状態を認証情報要変更状態に移行させ、
    第1状態が認証情報要変更状態にあるユーザから正しい第1のユーザ認証情報が入力された場合に、第2のユーザ認証情報と、第1のユーザ認証情報に対応する第1の変更情報と、の入力をユーザに促し、
    ユーザから入力された第2のユーザ認証情報に基づき第2のユーザ認証を実行し、
    第2のユーザ認証において第2の不正アクセス条件が満足された場合に、当該ユーザのアカウントの第2状態を通常状態から認証情報要変更状態に移行させ、
    第2のユーザ認証が成功した場合に、第2状態が通常状態であれば、第1の変更情報を用いて第1のユーザ認証情報を変更してユーザにログインを許可し、
    第2のユーザ認証が成功した場合に、第2状態が認証情報要変更状態であれば、第1の変更情報による第1のユーザ認証情報の変更は行わずに、第3のユーザ認証情報と、第2のユーザ認証情報に対応する第2の変更情報と、の入力をユーザに促し、
    ユーザから入力された第3のユーザ認証情報に基づき第3のユーザ認証を実行し、
    第3のユーザ認証が成功した場合に、第1の変更情報を用いて第1のユーザ認証情報を変更し、第2の変更情報を用いて第2のユーザ認証情報を変更してユーザにログインを許可し、
    第3のユーザ認証が失敗した場合には、第1の変更情報による第1のユーザ認証情報の変更、及び、第2の変更情報による第2のユーザ認証情報の変更、を行わないまま、ユーザのログインを拒否する、
    処理をコンピュータシステムに実行させるためのプログラム。
  2. 請求項1記載のプログラムであって、
    特別ユーザを登録し、
    登録された特別ユーザについて前記第1の不正アクセス条件が満足された場合には、当該ユーザのアカウントの第1状態を認証情報要変更状態とし、
    特別ユーザ以外のユーザについて前記第1の不正アクセス条件が満足された場合には、当該ユーザのアカウントをロックアウト状態とする、
    処理を更に前記コンピュータシステムに実行させることを特徴とするプログラム。
  3. ユーザから入力された第1のユーザ認証情報に基づくユーザ認証において、第1の不正アクセス条件が満足された場合に、当該ユーザのアカウントの第1状態を認証情報要変更状態に移行させる手段と、
    第1状態が認証情報要変更状態にあるユーザから正しい第1のユーザ認証情報が入力された場合に、第2のユーザ認証情報と、第1のユーザ認証情報に対応する第1の変更情報と、の入力をユーザに促す手段と、
    ユーザから入力された第2のユーザ認証情報に基づき第2のユーザ認証を実行する手段と、
    第2のユーザ認証において第2の不正アクセス条件が満足された場合に、当該ユーザのアカウントの第2状態を通常状態から認証情報要変更状態に移行させる手段と、
    第2のユーザ認証が成功した場合に、第2状態が通常状態であれば、第1の変更情報を用いて第1のユーザ認証情報を変更してユーザにログインを許可する手段と、
    第2のユーザ認証が成功した場合に、第2状態が認証情報要変更状態であれば、第1の変更情報による第1のユーザ認証情報の変更は行わずに、第3のユーザ認証情報と、第2のユーザ認証情報に対応する第2の変更情報と、の入力をユーザに促す手段と、
    ユーザから入力された第3のユーザ認証情報に基づき第3のユーザ認証を実行する手段と、
    第3のユーザ認証が成功した場合に、第1の変更情報を用いて第1のユーザ認証情報を変更し、第2の変更情報を用いて第2のユーザ認証情報を変更してユーザにログインを許可する手段と、
    第3のユーザ認証が失敗した場合には、第1の変更情報による第1のユーザ認証情報の変更、及び、第2の変更情報による第2のユーザ認証情報の変更、を行わないまま、ユーザのログインを拒否する手段と、
    を備えるコンピュータシステム。
  4. 請求項3記載のコンピュータシステムであって、
    特別ユーザを登録する手段と、
    登録された特別ユーザについて前記第1の不正アクセス条件が満足された場合には、当該ユーザのアカウントの第1状態を認証情報要変更状態とする手段と、
    特別ユーザ以外のユーザについて前記第1の不正アクセス条件が満足された場合には、当該ユーザのアカウントをロックアウト状態とする手段と、
    を更に備えることを特徴とするコンピュータシステム。
JP2005348836A 2005-12-02 2005-12-02 ユーザ認証制御のためのプログラム、方法及びコンピュータシステム Expired - Fee Related JP4844106B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005348836A JP4844106B2 (ja) 2005-12-02 2005-12-02 ユーザ認証制御のためのプログラム、方法及びコンピュータシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005348836A JP4844106B2 (ja) 2005-12-02 2005-12-02 ユーザ認証制御のためのプログラム、方法及びコンピュータシステム

Publications (2)

Publication Number Publication Date
JP2007156675A JP2007156675A (ja) 2007-06-21
JP4844106B2 true JP4844106B2 (ja) 2011-12-28

Family

ID=38240981

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005348836A Expired - Fee Related JP4844106B2 (ja) 2005-12-02 2005-12-02 ユーザ認証制御のためのプログラム、方法及びコンピュータシステム

Country Status (1)

Country Link
JP (1) JP4844106B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2724713C1 (ru) * 2018-12-28 2020-06-25 Акционерное общество "Лаборатория Касперского" Система и способ смены пароля учетной записи при наличии угрозы получения неправомерного доступа к данным пользователя

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4862551B2 (ja) * 2006-08-16 2012-01-25 富士ゼロックス株式会社 認証制御プログラムおよび認証装置
JP5218003B2 (ja) 2008-12-12 2013-06-26 株式会社リコー 画像形成装置、認証方法、及びプログラム
JP5334739B2 (ja) * 2009-08-10 2013-11-06 株式会社日立ソリューションズ ログ監視プログラム、ログ監視システム
US8281372B1 (en) * 2009-12-18 2012-10-02 Joel Vidal Device, system, and method of accessing electronic mail
CN102271126B (zh) * 2010-06-03 2014-02-26 泰歆科技有限公司 包容式金钥认证方法
EP2734340B1 (en) 2011-07-24 2017-12-20 Makita Corporation Theft-deterrence system for power tool system, and adapter and method therefor
JP5586069B2 (ja) * 2011-11-29 2014-09-10 Necアクセステクニカ株式会社 通信装置およびその制御方法
JP6254964B2 (ja) * 2015-02-02 2017-12-27 日本電信電話株式会社 認証システム、予備鍵管理装置、予備鍵管理方法および予備鍵管理プログラム
JP6308144B2 (ja) * 2015-02-27 2018-04-11 京セラドキュメントソリューションズ株式会社 電子機器および電子機器における認証方法
JP6816623B2 (ja) * 2017-04-12 2021-01-20 富士通株式会社 認証装置、認証プログラム及び認証方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08314805A (ja) * 1995-05-19 1996-11-29 Nec Corp 無線携帯端末不正使用防止システム及びその実施方法
JPH11149454A (ja) * 1997-09-10 1999-06-02 Fujitsu Ltd 認証装置、ユーザ認証方法、ユーザ認証用カード及び記憶媒体
JP3633346B2 (ja) * 1999-03-11 2005-03-30 松下電器産業株式会社 パスワード制御装置
JP2002288137A (ja) * 2001-03-27 2002-10-04 Toshiba Corp 電子機器における個人認証方式
JP2004102635A (ja) * 2002-09-09 2004-04-02 Ricoh Co Ltd ユーザ認証方法、情報システム、文書保存装置及びデジタル複合機

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2724713C1 (ru) * 2018-12-28 2020-06-25 Акционерное общество "Лаборатория Касперского" Система и способ смены пароля учетной записи при наличии угрозы получения неправомерного доступа к данным пользователя

Also Published As

Publication number Publication date
JP2007156675A (ja) 2007-06-21

Similar Documents

Publication Publication Date Title
JP4844106B2 (ja) ユーザ認証制御のためのプログラム、方法及びコンピュータシステム
US9866567B2 (en) Systems and methods for detecting and reacting to malicious activity in computer networks
US20170324758A1 (en) Detecting and reacting to malicious activity in decrypted application data
CN110875925B (zh) 信息处理装置、授权系统及验证方法
EP2321928B1 (en) Authentication in a network using client health enforcement framework
US20080025514A1 (en) Systems And Methods For Root Certificate Update
US20100332837A1 (en) Web application security filtering
US20130055386A1 (en) Apparatus and method for preventing falsification of client screen
KR20090085585A (ko) 공유 암호화 키를 변경하는 시스템 및 방법
US20100318806A1 (en) Multi-factor authentication with recovery mechanisms
JP2011519088A (ja) 分散データ記憶装置
Lepofsky The manager's guide to web application security: a concise guide to the weaker side of the web
JP4894241B2 (ja) コンピュータシステム、認証制御方法、プログラム及びサーバ・クライアントシステム
Soria-Machado et al. Detecting lateral movements in windows infrastructure
SE523140C2 (sv) Skyddsanordning i datorsystem avsedd att skydda en fil med en säkerhetspolicy i ett system för tillämpning av säkerhetspolicy
CN111698299B (zh) Session对象复制方法、装置、分布式微服务架构及介质
Genç et al. A critical security analysis of the password-based authentication honeywords system under code-corruption attack
Hackenjos et al. FIDO2 With Two Displays-Or How to Protect Security-Critical Web Transactions Against Malware Attacks
Alanazi et al. The history of web application security risks
JP4651644B2 (ja) 認証システムおよび認証プログラム
Oppliger et al. Captcha-based code voting
JP7266560B2 (ja) 認証装置、認証方法及び認証プログラム
Kalkhoran et al. A Multi-Layer Architecture for Intrusion Tolerant Web Services
JP5359292B2 (ja) アクセス制御システム、アクセス制御装置、アクセス制御方法及びプログラム
JP2003203051A (ja) セキュリティ対策実行装置及びその方法と、セキュリティ対策実行プログラム及びそのプログラムを記録した記録媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110621

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110817

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110913

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110926

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141021

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4844106

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees