図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

ワンタイムパスワードとは 図解サイバーセキュリティ用語

投稿日:

ワンタイムパスワードは二要素認証の「ユーザが持っているもの(Something you have)」に該当し、解読不可能な規則によって表示される数字(トークン)をログイン認証の要件とする事で、ログイン認証のセキュリティ強化を図る事ができます。

トークン(Token)

ワンタイムパスワードで生成される数字をトークン(Token)と言う事があります。また、ワンタイムパスワードを生成する機器自体をトークンと言う事があり、例えば、カード式などの物理的な機器の場合はハードウェアトークン、スマートフォンのアプリの場合はソフトウェアトークンと呼びます。

ハードウェアトークンの例 ソフトウェアトークンの例
三井住友銀行のワンタイムパスワードトークン

三井住友銀行のパスワードカード、出典:http://www.smbc.co.jp/kojin/direct/securi/passca/

Google Authenticator

RSA SecureID 700, 出典:https://www.rsa.com/ja-jp/products-services/identity-access-management/securid/hardware-tokens

RSA Software Token, 出典:https://www.rsa.com/content/dam/rsa/PDF/h13819-ds-rsa-securid-software-tokens.pdf

ハードウェアトークンは使い勝手が良く、ITに詳しくない方でも簡単に使えますが、ハードウェアトークンには電池が入っており、約3年~5年ほどで電池が切れてしまいます。それに伴って、ハードウェアトークンの有効期限が設定されていますので、通常3年~5年ごとに新しいハードウェアトークンに取り換える必要があります。

一方でソフトウェアトークンは有効期限はありませんが、スマートフォンやコンピュータにトークン用アプリをインストールする必要がありますので、ITに詳しくない方は初期導入が難しく感じる場合があります。

ワンタイムパスワードの仕組み

ワンタイムパスワードを生成する仕組みとして時刻同期方式とチャレンジ&レスポンス方式の2種類あります。

時刻同期方式

ハードウェアトークンなどユーザの手に渡ると認証サーバとネットワーク接続ができない場合に多く使われるのが時刻同期方式です。

ワンタイムパスワード、時刻同期方式の仕組み

時刻同期方式の場合、ハードウェアトークンにあらかじめ時刻をキーの1つとするアルゴリズムを組み込んでおく事でハードウェアトークンと認証サーバで同じトークン番号を表示する事ができます。

時刻同期方式の場合は時間がとても重要となります。ですので認証サーバで時刻がずれてしまうと、認証サーバで生成するトークン番号とハードウェアトークンで生成するトークン番号にずれが出てしまい、認証が成功しなくなる場合があります。時刻がずれるパターンとして、ハードウェアトークン側で電池切れなどが発生して時刻がずれる事もあります。しかしながら、製品の多くは管理サーバ側で多少の時刻のずれを調整する仕組みがあり、必要に応じてトークン単位で修正が可能となっています。

チャレンジ&レスポンス方式

チャレンジ&レスポンス方式ではクライアントがサーバに対して認証リクエストを送信すると、サーバがランダムな文字列を生成して「チャレンジ」としてクライアントに送信します。クライアントではそのランダムな文字列とあらかじめ設定されているアルゴリズムを利用して新しい文字列を生成します。そしてその新しい文字列をサーバに「レスポンス」として返信します。

サーバ側ではサーバ自身で作成したランダムな文字列とクライアントと同じアルゴリズムを利用して新しい文字列を生成し、クライアントから送信された文字列と比較します。比較した結果、文字列が一致していれば認証します。

ワンタイムパスワード、チャレンジ&レスポンス方式

広告

広告

-図解サイバーセキュリティ用語

関連記事

脆弱性診断とペンテストの違い 図解サイバーセキュリティ用語

脆弱性スキャンとペンテストを同じと思っている方も多いと思いますが、脆弱性を発見する所までは同じでもその後のプロセスが違ってきます。脆弱性スキャンは脆弱性診断とも言われますが、脆弱性を発見する事を重点に …

ウォードライビングとは?

ウォードライビング(Wardriving)とは、自動車や自転車で移動しながら無線LANのアクセスポイント(AP)を探して記録する事を言います。ウォードライビングは許可されていない無線LANにアクセスす …

クロスサイトリクエストフォージェリ (CSRF) 図解サイバーセキュリティ用語

クロスサイトリクエストフォージェリ (CSRF)は、一般ユーザが知らない間にサイバー攻撃に加担してしまう事で、攻撃者がターゲットに対して間接的に攻撃を行う事ができます。クロスサイトリクエストフォージェ …

リスクの保有・低減・回避・移転

リスクとは被害を被る可能性の事です。ITではリスクは脆弱性・脅威・情報資産の3つの組み合わせによって表現する事ができ、その発生頻度や影響度によってリスクに対する対策が変わってきます。リスク対策として4 …

サイバーセキュリティとセキュリティの違い 図解サイバーセキュリティ用語

サイバーとはインターネットが形成する情報空間の事を表します。ではセキュリティとサイバーセキュリティの違いは何でしょうか?サイバーセキュリティはセキュリティという大きなカテゴリの中の1つの分野です。セキ …