ワンクリック自動ログオン

Zoho Vaultは、GUIからワンクリックでWebサービスへの直接ログインするオプションを提供しています。

ワンクリック自動ログオンはどのような仕組みで機能していますか?

ブラウザのブックマークツールバーに Zoho Vault のブックマークレット(「Click-to-login」)をインストールすると、ワンクリック自動ログオン機能が使えるようになります。ユーザーはブラウザにURLのブックマークを作成しますが、通常、ブラウザのブックマークには変わらないURLがあり、ブックマークをクリックするとURLが開くだけです。一方、ブックマークレットはブラウザのブックマークに似ていますが、シンプルなスクリプトが追加されています。ブックマークレットをクリックすると、URLを開くだけでなく、開いたURLでタスクを実行するためのスクリプトが実行されます。このようにブックマークから、さらにブラウザ動かすのがブックマークレットです。

上記で説明したように、ユーザーはブラウザのブックマークツールバーに「Click-to-login」ボタンをインストールする必要があります。これは最初の1回限りの作業でよく、インストールした後、Webサイトにログインするには、任意のページで必要なシークレット情報をクリックするか、または、「シークレット」ページでそれぞれのシークレット情報の「自動ログオン」アイコンをクリックします。これでブラウザが開き、さらにブラウザのブックマークツールバーにインストールされている[Click-to-login]ボタンをクリックします。すると Zoho Vault はユーザー名とパスワードを自動的に入力します。パスワードをコピー&ペーストすることなくWebサイトやサービスに直接ログインできます。

ワンクリック自動ログオンの安全性

Click-to-loginボタンは、ユーザー固有のボタンです。内部的には、完全に暗号化された「ブックマークレットキー」という形でユーザーに関する詳細が保存されています。 Host-Proofing Hostingにより、ブラウザはユーザーのパスフレーズのSHA-256ハッシュを保管しています。ワンクリック自動ログオンのためのユーザ固有のブックマークレットキーは、ハッシュされたパスフレーズをもう1つのSHA-256ハッシュに適用することによって生成されます。

ユーザーが Zoho Vault GUIで自動ログオンを開始すると、そのWebサービスのシークレット情報はパスフレーズでブラウザにより解読されます。シークレット情報は、ユーザーが「Click-to-login」ボタンの生成過程でインストールした「ブックマークレットキー」によって再度暗号化されます。暗号化された値は Zoho Vault サーバーに送信され、一時的なメモリに100秒間保存されます。 100秒後、値はクリアされます。ユーザーはボタンをもう一度クリックする必要があります。

その後、ユーザがブラウザのブックマークツールバーにインストールされた「Click-to-login」ボタンをクリックすると、サーバに一時的に格納された暗号化された値がブックマークレットキーを用いて検索され、解読されます。これが裏で起きている間、Zoho Vault はブラウザを開き、WebアプリケーションのURLを開き、ログインするためのユーザー名とパスワードを自動的に入力します。

最善のセキュリティ保護の方法として、ユーザーは[Click-to-login]ボタンを定期的に再生成し、古いボタンを置き換えることが望まれます。これにより、新しいブックマークレットキーが作成されます。

他の場合と同様に、ワンクリック自動ログインシナリオでも、完全なデータプライバシーが保証されています。ユーザー自身を除いては、Zohoのスタッフを含む誰もこのデータにアクセスすることは不可能です。