PSP、DSでも使える！ワンタイムパスワード

　ワンタイムパスワードとは、1回限りの「使い捨て」パスワードのことだ。実現するには3つの方式があるが、パスワードをユーザが覚えておく必要がないことや、1つのパスワードが特定のタイミングや極めて短時間しか有効にならないこと、固定パスワードをサーバが保管しておかなくても良いことは各方式で共通している。

　まずはイメージをつかむために、最も広く普及している「時刻同期方式/ハードウェアトークン認証」の場合を紹介しよう。

　PINコードは、銀行のキャッシュカードの暗証番号のような4桁の数字で、これはユーザが覚えておかなければならない。
　一方、ハードウェアトークンは電池が続く限り時間をカウントし、シード値と現在の時刻を独自のアルゴリズムで暗号化処理して、特定の時間ごとに違ったパスワードを表示する。もちろん同じ種類のトークンであっても1つひとつ違ったパスワードが生成される。
　つまり、「記憶」であるPINコードと「持ち物」であるトークンの2つが認証の前提となり、安全性は二重に担保されることになる。これを「2要素認証」と呼ぶ。

　この仕組みにより、少なくとも生成パスワード部分についてはユーザの意思も管理者の意思も反映されない「意味のない」数字になる。したがって、攻撃者が肩越しに盗み見たり、電話で聞き出したりしてメモしたとしても時間的な制限でパスワードを利用することは非常に難しい。また、パスワードを狙うクラッカーの攻撃に対しても実効性は高い。通信の盗聴やフィッシングによる詐取を行ったとしても、いざアクセスを行う時点ではパスワードの有効期限が切れているからだ。キーロガーやスパイウェアを使ったとしても、相当に周到で機敏な仕組みがなければ有効期限内にアクセスすることは難しい。

…この記事の続きは、会員限定です。 　会員登録はこちら(無料)

会員限定の「ワンタイムパスワード/PSP、DSでも使える！ワンタイムパスワード」(全文)では、「ワンタイムパスワード」の概要や基本的な仕組みを解説しています。会員登録を行い、ログインすると記事の続き(以下の内容)がご覧いただけます。

【1】ワンタイムパスワードを解体しよう！

　1-1　ワンタイムパスワードの仕組み

　1-2　ワンタイムパスワードの方式

　1-3　ワンタイムパスワード導入のメリット

【2】ワンタイムパスワードを取り巻く最新事情

　2-1　携帯電話、PDA、そのほかの端末の活用について

　2-2　アプライアンス製品やASPサービスの登場

会員になると「ワンタイムパスワード/PSP、DSでも使える！ワンタイムパスワード」など主要製品が基礎からわかるIT製品解体新書（全文）をご覧いただけます。