テクニカルトピックス


【2014.9.2】Web認証におけるSwivel構築方法

インターネットを介した認証では、ANAの事例のみならずパスワードリスト攻撃、パスワードハッキングへの対策を講じる必要があります。一般的には、これらへの有効な解決策がワンタイムパスワードであると言われています。Swivelは、このワンタイムパスワードを、
  • ユーザフレンドリーに、
  • トークンを使わないで(管理者フレンドリーに)
実現します。
さらに、あらゆるシチュエーションを想定した二要素認証に対応していますので、非常に有効なソリューションであるということができます。
Swivelを使用してワンタイムパスワードによるWeb認証環境の構築例を以下に記述したいと思います。

まず、最も簡単にSwivelを組み込む方法は、Swivel PHPモジュールを使用した構築です。 PHPベースのWebサイトとPINsafeを統合するためのサンプルファイルがSwivel Knowledgebaseに掲載されています。
このページに記載されているサンプルとSwivel Filterを使用すると、右図のようなWebの認証環境を比較的簡単に構築することができます。Swivel Filterはこちらからダウンロードできます。

各モジュールの構成は以下の通りです。
  • swivel_client.php - PHPのAPIライブラリの拡張版
  • config.phpファイル - 構成設定ファイル
  • swivel_filter.php - Swivelサーバと連携するためのモジュール
  • image.php - チューリングイメージプロキシ
  • login.php - ログインページ(例)
  • logout.php -ログアウトページ(例)
  • login.css - ログインページのスタイルシート
  • config.xml - スイベルサーバーの設定ファイル
上記はPHPでの事例ですが、Javaスクリプトでも同様のロジックで構築可能です。詳細はこちらのSwivel Knowledge Baseに記載されています。
他社のトークンレスワンタイムパスワードに比べて格段に使いやすい、Swivelのワンタイムパスワード認証を簡単にお客様に体感いただくことができます。ぜひ一度お試し下さい。