第33回 ワンタイムパスワード方式による本人認証
そのまんまですが、一回しか使えないパスワードのことです。
略すとOTPとのことです。...ほんとか?
パスワードを毎回変えることにより、安全性を保ちます。
例え、ばれても次にはもう使えません。
ワンタイムパスワードは次の二つの要件を満たす必要があります。
1.生成するパスワードが推測不能なこと。
当然ですが、作成パターン(ロジック)が分かれば、パスワードを作り放題です。
2.ユーザがパスワードを覚えなくていいこと。
これもまた当然ですが、使い捨てパスワードを覚えられるわけありません。
そもそも不可能です。
チャレンジレスポンス方式
サーバとクライアントが同じパスワード文字列(シードと呼ばれる)を持っています。
当然これは事前にアナログ(人手)で登録。
で、それを元に、チャレンジと呼ばれる文字列を作る。
これはてきとーな文字列。何でもよい。ただし、毎回変える。
これをサーバはクライアントに送って、双方で同じパスワードから同じロジックでレスポンスと呼ばれる文字列を作る。
元の文字列が同じでロジックも同じなのだから、クライアントもサーバも同じ文字列を作れる。
これをクライアントがサーバに送ってサーバが同じ文字列かどうか確認して認証する。
ここでのみそはシードを両方に用意しておくこと。人手での設定。
S/Keyによるワンタイムパスワード認証システム
んー、これは説明がめんどくさい。
簡単に言うと、初めに大量のパスワードを作っておいてそれを使い捨てするシステム。
大量というのは、数千~一万くらい。
でもその大量のパスワードをネットワーク上流しては意味ないので、
これは流さない。
さっきのと同じくパスワードと同一の変換ロジック(ハッシュと呼ばれる計算方式)を
サーバ・クライアント双方に用意して、パスワードを作成する。
パスワードは初期値からハッシュを利用してどんどん計算して作成していく。
ハッシュは不可逆暗号とも呼ばれ(たぶん。最近はあんまりきかない。)、
暗号っぽく意味不明な文字列は作れるが、これを元に戻すことはできない。
そういうロジック。
で、この方式で作成したものを逆順に使っていく。(これがみそ。)
不可逆なので、あとで作ったパスワード文字列がばれたとしても、
それを元にその前(パスワード作成順。使用順だと後)のパスワードは推測不能。
なので、パスワードとして使える。
簡易的(無料。フリーソフトで利用可能。)なワンタイムパスワードとして、使われている。
...まだ使われてるんかの。最近きかんの。
トークン(携帯認証装置)によるワンタイムパスワード認証システム
最近相次いで銀行が導入を決めたことでも話題になってる方式。
今ワンタイムパスワードというと、だいたいこれを指す。
ソフトウェア方式もあるけど、やってることは同じなので、ハードウェア方式の話をします。
ボタンぽんで、パスワードが出てくれば簡単ですが、
これではなくしたり盗まれたりした時にいきなりセキュアでなくなります。
なので、PINコードと呼ばれるパスワードにあたる文字列を入力します。
ボタンの数の問題で、大概PINコードは数字のみです。
実際使ってみるのが一番よいと思いますので、ワンタイムパスワード対応の銀行に口座作って、使ってみるのがよいと思います。
そのまんまですが、一回しか使えないパスワードのことです。
略すとOTPとのことです。...ほんとか?
パスワードを毎回変えることにより、安全性を保ちます。
例え、ばれても次にはもう使えません。
ワンタイムパスワードは次の二つの要件を満たす必要があります。
1.生成するパスワードが推測不能なこと。
当然ですが、作成パターン(ロジック)が分かれば、パスワードを作り放題です。
2.ユーザがパスワードを覚えなくていいこと。
これもまた当然ですが、使い捨てパスワードを覚えられるわけありません。
そもそも不可能です。
チャレンジレスポンス方式
サーバとクライアントが同じパスワード文字列(シードと呼ばれる)を持っています。
当然これは事前にアナログ(人手)で登録。
で、それを元に、チャレンジと呼ばれる文字列を作る。
これはてきとーな文字列。何でもよい。ただし、毎回変える。
これをサーバはクライアントに送って、双方で同じパスワードから同じロジックでレスポンスと呼ばれる文字列を作る。
元の文字列が同じでロジックも同じなのだから、クライアントもサーバも同じ文字列を作れる。
これをクライアントがサーバに送ってサーバが同じ文字列かどうか確認して認証する。
ここでのみそはシードを両方に用意しておくこと。人手での設定。
S/Keyによるワンタイムパスワード認証システム
んー、これは説明がめんどくさい。
簡単に言うと、初めに大量のパスワードを作っておいてそれを使い捨てするシステム。
大量というのは、数千~一万くらい。
でもその大量のパスワードをネットワーク上流しては意味ないので、
これは流さない。
さっきのと同じくパスワードと同一の変換ロジック(ハッシュと呼ばれる計算方式)を
サーバ・クライアント双方に用意して、パスワードを作成する。
パスワードは初期値からハッシュを利用してどんどん計算して作成していく。
ハッシュは不可逆暗号とも呼ばれ(たぶん。最近はあんまりきかない。)、
暗号っぽく意味不明な文字列は作れるが、これを元に戻すことはできない。
そういうロジック。
で、この方式で作成したものを逆順に使っていく。(これがみそ。)
不可逆なので、あとで作ったパスワード文字列がばれたとしても、
それを元にその前(パスワード作成順。使用順だと後)のパスワードは推測不能。
なので、パスワードとして使える。
簡易的(無料。フリーソフトで利用可能。)なワンタイムパスワードとして、使われている。
...まだ使われてるんかの。最近きかんの。
トークン(携帯認証装置)によるワンタイムパスワード認証システム
最近相次いで銀行が導入を決めたことでも話題になってる方式。
今ワンタイムパスワードというと、だいたいこれを指す。
ソフトウェア方式もあるけど、やってることは同じなので、ハードウェア方式の話をします。
ボタンぽんで、パスワードが出てくれば簡単ですが、
これではなくしたり盗まれたりした時にいきなりセキュアでなくなります。
なので、PINコードと呼ばれるパスワードにあたる文字列を入力します。
ボタンの数の問題で、大概PINコードは数字のみです。
実際使ってみるのが一番よいと思いますので、ワンタイムパスワード対応の銀行に口座作って、使ってみるのがよいと思います。
※コメント投稿者のブログIDはブログ作成者のみに通知されます