TDK
Tech-Mag TDK Techno Magazine 〜テクマグ〜
サイト内検索
メールマガジン登録個人情報保護基本方針
home
電気と磁気の?館
じしゃく忍法帳
フェライト・ワールド
column
テクの雑学
アースサイエンス&TDKテクノロジー
パワーエレクトロニクス・ワールド
コンデンサ・ワールド
なるほどノイズ(EMC)入門2
なるほどノイズ(EMC)入門1
過去の読み物

TDKホームページ
 トップページテクの雑学 > 第115回 セキュリティトレンド - ワンタイムパスワードの仕組み -
テクの雑学

第115回 セキュリティトレンド - ワンタイムパスワードの仕組み -

パスワードを作る2つの方式
 ワンタイムパスワードを正しく生成するために使われる方式としては、「時刻同期方式」と「チャレンジ&レスポンス方式」の2つが主流です。

 時刻同期方式では、パスワード生成のための「種」として、現在の時刻を使います。あらかじめ、サーバーとトークンで、時刻に基づいてパスワードを算出する共通の計算式を記憶しておきます。トークン側では、ボタンが押されると、その時刻に合わせてその時に有効なパスワードを表示します。サーバー側では、入力されたパスワードと、現在有効なパスワードを照らし合わせ、正しければ認証します。


 チャレンジ&レスポンス形式は、利用者からサーバーに「認証して欲しい」というリクエストがまず送られます。それを受けたサーバーは、ユーザーに対して、「チャレンジ」としてランダムな文字列を返します。ユーザーは、そのレスポンスに基づき、あらかじめ決められている計算式により、実際に使用するパスワードを計算して「レスポンス」として入力します。サーバー側では、チャレンジから計算したレスポンスが、ユーザーが入力したレスポンスと一致していれば、認証します。


 複雑な仕組みに思えますが、例えば「マトリックス認証」も、ワンタイムパスワードの一種です。IDとパスワードが入力されると、サーバーは「認証して欲しい」という要求として受け付け、「チャレンジ」としてマトリックスを表示します。ユーザーはそのマトリックスを見ながら、あらかじめ決めた行や列を読み取り「レスポンス」として入力します。サーバー側では、入力されたレスポンスが正しければ、認証します。


ワンタイムパスワードは「絶対安全」ではない
 使い捨てのワンタイムパスワードは、認証の安全性を飛躍的に高めます。オンラインバンキングサービスの多くは、利用者にワンタイムパスワードのサービスを提供しています。

 しかし、ワンタイムパスワードを使っているからといって、絶対に安全とはいえません。パスワードそのものは使い捨てなので安全なのですが、ユーザーとサーバーの間に介入して通信を中継することにより、ワンタイムパスワードでサービスにログインし、その後ユーザーの通信を乗っ取る「中間者攻撃」という方法では、ワンタイムパスワードがあっても不正利用されてしまいます。


 実際に米国の大手銀行では、中間者攻撃により多数の利用者が預金を引き出されるなどの被害にあっています。犯人は、銀行の利用者に、銀行の名前でメールを送り、偽のウェブサイトに誘導します。そのサイトで入力させたオンラインバンキングサービスのユーザーIDやパスワード、ワンタイムパスワードを、そのまま銀行の正規サイトに転送することで、ログインを成功させ、その後の操作は犯人が行うという手口でした。

 便利なサービスを安全に利用するためのワンタイムパスワードですが、ちょっとした不注意で無力になってしまうこともあります。常日頃から、あやしいメールや、パソコンのセキュリティには気をつける心がけが大切です。


著者プロフィール:板垣朝子(イタガキアサコ)
1966年大阪府出身。京都大学理学部卒業。独立系SIベンダーに6年間勤務の後、フリーランス。インターネットを中心としたIT系を専門分野として、執筆・Webプロデュース・コンサルティングなどを手がける
著書/共著書
「WindowsとMacintoshを一緒に使う本」 「HTMLレイアウトスタイル辞典」(ともに秀和システム)
「誰でも成功するインターネット導入法—今から始める企業のためのITソリューション20事例 」(リックテレコム)など


前のページへ | 2/2 | 次のページへ

ページtop
HOME 電気と磁気の?(はてな)館 アースサイエンス&TDKテクノロジー テクの雑学 コンデンサ・ワールド
Copyright(c) 1996-2014 TDK Corporation. All rights reserved.
※記事の内容は、記事掲載時点での情報に基づいたものです。一部、現在TDKで扱っていない製品情報等も含まれております。
TDKホームページは、Internet Explorer5.5以降、Netscape Navigator7.0以降でご覧いただくことを推奨しています。