図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

ワンタイムパスワードとは 図解サイバーセキュリティ用語

投稿日:

ワンタイムパスワードは二要素認証の「ユーザが持っているもの(Something you have)」に該当し、解読不可能な規則によって表示される数字(トークン)をログイン認証の要件とする事で、ログイン認証のセキュリティ強化を図る事ができます。

トークン(Token)

ワンタイムパスワードで生成される数字をトークン(Token)と言う事があります。また、ワンタイムパスワードを生成する機器自体をトークンと言う事があり、例えば、カード式などの物理的な機器の場合はハードウェアトークン、スマートフォンのアプリの場合はソフトウェアトークンと呼びます。

ハードウェアトークンの例 ソフトウェアトークンの例
三井住友銀行のワンタイムパスワードトークン

三井住友銀行のパスワードカード、出典:http://www.smbc.co.jp/kojin/direct/securi/passca/

Google Authenticator

RSA SecureID 700, 出典:https://www.rsa.com/ja-jp/products-services/identity-access-management/securid/hardware-tokens

RSA Software Token, 出典:https://www.rsa.com/content/dam/rsa/PDF/h13819-ds-rsa-securid-software-tokens.pdf

ハードウェアトークンは使い勝手が良く、ITに詳しくない方でも簡単に使えますが、ハードウェアトークンには電池が入っており、約3年~5年ほどで電池が切れてしまいます。それに伴って、ハードウェアトークンの有効期限が設定されていますので、通常3年~5年ごとに新しいハードウェアトークンに取り換える必要があります。

一方でソフトウェアトークンは有効期限はありませんが、スマートフォンやコンピュータにトークン用アプリをインストールする必要がありますので、ITに詳しくない方は初期導入が難しく感じる場合があります。

ワンタイムパスワードの仕組み

ワンタイムパスワードを生成する仕組みとして時刻同期方式とチャレンジ&レスポンス方式の2種類あります。

時刻同期方式

ハードウェアトークンなどユーザの手に渡ると認証サーバとネットワーク接続ができない場合に多く使われるのが時刻同期方式です。

ワンタイムパスワード、時刻同期方式の仕組み

時刻同期方式の場合、ハードウェアトークンにあらかじめ時刻をキーの1つとするアルゴリズムを組み込んでおく事でハードウェアトークンと認証サーバで同じトークン番号を表示する事ができます。

時刻同期方式の場合は時間がとても重要となります。ですので認証サーバで時刻がずれてしまうと、認証サーバで生成するトークン番号とハードウェアトークンで生成するトークン番号にずれが出てしまい、認証が成功しなくなる場合があります。時刻がずれるパターンとして、ハードウェアトークン側で電池切れなどが発生して時刻がずれる事もあります。しかしながら、製品の多くは管理サーバ側で多少の時刻のずれを調整する仕組みがあり、必要に応じてトークン単位で修正が可能となっています。

チャレンジ&レスポンス方式

チャレンジ&レスポンス方式ではクライアントがサーバに対して認証リクエストを送信すると、サーバがランダムな文字列を生成して「チャレンジ」としてクライアントに送信します。クライアントではそのランダムな文字列とあらかじめ設定されているアルゴリズムを利用して新しい文字列を生成します。そしてその新しい文字列をサーバに「レスポンス」として返信します。

サーバ側ではサーバ自身で作成したランダムな文字列とクライアントと同じアルゴリズムを利用して新しい文字列を生成し、クライアントから送信された文字列と比較します。比較した結果、文字列が一致していれば認証します。

ワンタイムパスワード、チャレンジ&レスポンス方式

広告

広告

-図解サイバーセキュリティ用語

関連記事

no image

メルトダウンとスペクター、CPUの脆弱性

インテル系のCPUに脆弱性が見つかりました。それらはメルトダウンとスペクターと名付けられています。メルトダウンとスペクターの脆弱性は、アプリケーションが他のアプリケーションで利用しているメモリ領域を読 …

タイポスクワッティングとは?

タイポスクワッティングとは、ユーザがWebブラウザにURLを入力する際の打ち間違いを利用して、ユーザを悪意のあるWebサイトに誘導する手法の事を言います。タイポスクワッティングは英語でtyposqua …

fiewall

Firewall(ファイアウォール)とは、パケットフィルタリングとアプリケーションゲートウェイ

Firewall(ファイアウォール)は日本語だと防火壁の事で、火の侵入を防いで火事が拡大することを防ぐ壁の事を言います。コンピュータの世界ではFirewall(ファイアウォール)は外部の不正な通信や攻 …

ステガノグラフィー(steganography)とは?

ステガノグラフィー(steganography)とは、主に画像などのデータに他のデータやメッセージを埋め込む事でデータ・メッセージを隠蔽するための技術の事を言います。 一般的に暗号データは暗号化されて …

SQLインジェクション攻撃とは

SQLインジェクション(SQL Injection)とは、アプリケーション(特にWebアプリケーション)がユーザ等からの入力値を適切にエスケープしないままその入力値をSQLコマンドとして実行する事で、 …