WEBブラウザーからの入力によって認証する仕組みだけでは、他人のIDとパスワードを使った「なりすまし」の予防が大変な上に限界もあります。
ワンマン・ワンウェーブを導入すると、WEBブラウザーからログインするときに、ユーザーのスマートフォンにリアルタイムで認可要求を発行し、ユーザーが認可したときだけログインが成功する仕組みに変更できます。
ユーザーは身に覚えのない認可要求に対して、無視するか却下を選択することで、ログインを失敗させることができますので、「なりすまし」を阻止することができるようになります。
WEBサイト(WEBアプリケーション)のオーナーは、「なりすまし」の脅威が大幅に減ると同時に、ユーザーに安心という付加価値を提供できるようになります。
ユーザーは、スマートフォンが手元にあることで「なりすまし」の被害に合わないという安心感が手に入ります。
(もし身に覚えのない認可要求が来て、自らの手でそれを阻止した時は非常にエキサイティングでしょう)
ワンマン・ワンウェーブは、スマートフォンに認可(認可・却下の2択)をリアルタイムで問い合わせるシンプルなサービスです。
すでにあるWEBサイト(WEBアプリケーション)に、この問い合わせ機能を追加することができます。
導入すると、1ログインアカウントにつき、1台スマートフォンを登録できるようになります。
そして、ログインなど任意のタイミングで、WEB APIを使って(ログインアカウントに登録されている)スマートフォンに認可を問い合わせることができるようになります。
スマートフォン上の認可操作は、アプリストアから無料のアプリ「UpsN」(アップスン)を入れてもらい、そのアプリを使って認可・却下の選択をしてもらいます。
導入後のご利用イメージは以下になります。
ワンマン・ワンウェーブは、既存のWEBサイトを極力変更しなくても実現できるよう、配慮した設計になっています。
WEBサイト(WEBアプリケーション)のオーナーが導入する際の手順は以下のようになります。
例:https://your.registered.url/
<div id="omow_upsn"></div> <!-- アイコンを表示する場所に左記DIVを配置します --> <script src="https://www.mellow-fellows.com/UpsN/?script=your_api_key"></script> <script type="text/javascript">//<![CDATA[ window.addEventListener('load', function(){ var omow_agent = new UpsNOneManOneWaveAgent('omow_upsn'); }, false); //]]></script>
※「your_api_key」はカスタマーサイトにログインすると表示されるAPIトークンに差し替えてください。
curl https://www.mellow-fellows.com/OMOW/ \ -d "secretKey=your_secret_key" \ -d "url=https://your.registered.url/" \ -d "uniqueId=your_login_id@example.com" \ -d "remoteAddr=optional_client_ip" \ -d "userAgent=optional_client_agent"
require_once('UpsNOMOWAgent.class.php'); $agent = new UpsNOMOWAgent(); $success_boolean = $agent->getDeviceAuth('your_secret_key', 'https://your.registered.url/', $user->login_id);
using UpsN; var agent = new UpsNOMOWAgent(); var success_boolean = agent.getDeviceAuth("your_secret_key", "https://your.registered.url/", model.EMail, Request);
※「your_secret_key」はカスタマーサイトにログインすると表示される秘密キーに差し替えてください。
以上です。
認可の問い合わせに必要な情報はUpsNサーバーが保管しますので、既存のWEBサイト(WEBアプリケーション)のデータベースは一切変更していただく必要はありません。
登録されたスマートフォンの管理も、UpsNカスタマーサイトに管理画面がございますので、新たにご用意いただく必要はありません。
ワンマン・ワンウェーブをログインと組み合わせると、以下の状況を作り出すことができます。
ワンマン・ワンウェーブを設置したときのログイン手順は以下のようになります。
※1分以内に認可されなかった場合や、認可画面でキャンセルが選択された場合は、IDとパスワードが合っていたとしても、ログインに失敗します。
具体的には下図のような流れになります。
たとえ現在が下記のような状況でも、ワンマン・ワンウェーブがあれば「なりすまし」のリスクを大幅に低減できます。
SSLクライアント証明書による端末認証と比べると、以下の利点もしくは欠点があります。
ワンマン・ワンウェーブには、以下の機能があります。
WEBサイトのユーザーはWEBブラウザーとスマートフォンアプリ「UpsN」を使って以下の事ができます。
それぞれの詳しい手順につきましては「ユーザーマニュアル」ページをご参照ください。
動作概要は「アカウントにスマートフォンを登録。」の場合、下図のようになります。
(その他の操作も同じ流れになります)
また、ユーザー向け機能の動作環境につきましてはコチラの「UpsNエージェントのサポートブラウザおよび動作条件」をご参照ください。
WEBサイトの運営者(UpsNカスタマー)様は、UpsNカスタマーサイトにて以下の事ができます。
シンプルな機能ですので、応用の幅も広くなります。
たとえば、オンラインのカード決済時に適用するケースが考えられます。
知人・他人、故意・偶然に関わらず、あなたの知らない所で、あなたのクレジットカード情報で決済される心配がなくなります。
また、社内の稟議システムで決済の承認を行う場合などにも有効です。
本人以外が承認するリスクが減り、誤って承認ボタンを押してしまっても、認可のタイミングでキャンセルできるようになります。
ワンマン・ワンウェーブは、適用ルールに柔軟性を持たせられます。
スマートフォンを持っている人だけ使ってもらう。社内システムだから全員必須とする。今だけ利用を停止する。など。
導入後に適用ルールを変更することになっても、再度アプリケーションロジックを変更していただく必要はありません。
UpsNカスタマーサイトの設定画面からワンマン・ワンウェーブの有効・無効および判定条件を変更することによって、適用ルールを調整していただけます。
ワンマン・ワンウェーブを導入したシステムは、ログインなど任意のタイミングで、必ず認可要求を発行します。
その際、指定されたアカウントにスマートフォンが登録されていない場合は、認可を「失敗とする」or「成功とする」の選択が可能です。
「成功とする」を選択すると、スマートフォンによる認可を任意とすることができるようになります。
※スマートフォンを持っていない人も従来どおりIDとパスワードによる認証でログインできます。
「失敗とする」を選択すると、スマートフォンによる認可を必須とすることができるようになります。
セキュリティレベルを上げると、手間が増え、利便性が犠牲になるケースがあると思います。
ワンマン・ワンウェーブとログインの組み合わせも「IDとパスワードの入力」から、「IDとパスワードの入力+スマートフォンによる認可」に増えてしまいます。
しかし、UpsN(アップスン)を併設すると、スマートフォンの紛失・盗難時のセキュリティは落ちますが、利便性が犠牲になりません。
特にスマートフォンのWEBブラウザー上では、1タップでログインが完了します。セキュリティは従来方式より上がっているにもかかわらずです。
ぜひUpsNもご検討ください。
※UpsNの使用を強制する機能はございませんので、併設しても併用するかどうかは個々のユーザーの判断、もしくは運用ルールに委ねることになります。