QR Loginとは
QR Loginは、パスワードQRにmRS署名した2次元コード(以降、トークン)を用いて、ネットワークにログインすることを指します。トークンには、ID、PW(パスワード)、SW(ユーザの秘密言葉)が格納されています。PWの安全性についてはパスワードQRを参照してください。
**ログインの手順**
① エンドユーザは、サーバにトークンを送信します。
② エンドユーザは、サーバから送信されるSWをチェックします。
③ SWが正しいとき、エンドユーザはPWをサーバに送信します。
④ PWが正しい時、ログインが成立します。
**QR Loginの特徴**
① サーバサイドはエンドユーザのPWを保管・管理する必要がありません。
② サーバから返されるSWをチェックすることで、偽サイトに誘導されるフイッシング攻撃を防ぎます。
③ 複数のネットワークに同じトークンでログインすることが可能です。
④ トークンはmRS署名されているので、カメラ撮影やスクリーンショットで複製されたトークンは使用できません。
QR Loginの例
下図は、トークンをWebサーバにアップロードしたときのレスポンスです。入力されたPWが正しいこと、またSWも表示されています。
なお、弊社はPWを使わないログインシステムを発表しています[1]。
参考文献
1. 先名健一、"デジタル署名を用いたパスワードレスのログインスキーム", 巻: 2023 号: 総合大会 ページ: ROMBUNNO.A-7-3, 2023。