図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

ワンタイムパスワードとは 図解サイバーセキュリティ用語

投稿日:

ワンタイムパスワードは二要素認証の「ユーザが持っているもの(Something you have)」に該当し、解読不可能な規則によって表示される数字(トークン)をログイン認証の要件とする事で、ログイン認証のセキュリティ強化を図る事ができます。

トークン(Token)

ワンタイムパスワードで生成される数字をトークン(Token)と言う事があります。また、ワンタイムパスワードを生成する機器自体をトークンと言う事があり、例えば、カード式などの物理的な機器の場合はハードウェアトークン、スマートフォンのアプリの場合はソフトウェアトークンと呼びます。

ハードウェアトークンの例 ソフトウェアトークンの例
三井住友銀行のワンタイムパスワードトークン

三井住友銀行のパスワードカード、出典:http://www.smbc.co.jp/kojin/direct/securi/passca/

Google Authenticator

RSA SecureID 700, 出典:https://www.rsa.com/ja-jp/products-services/identity-access-management/securid/hardware-tokens

RSA Software Token, 出典:https://www.rsa.com/content/dam/rsa/PDF/h13819-ds-rsa-securid-software-tokens.pdf

ハードウェアトークンは使い勝手が良く、ITに詳しくない方でも簡単に使えますが、ハードウェアトークンには電池が入っており、約3年~5年ほどで電池が切れてしまいます。それに伴って、ハードウェアトークンの有効期限が設定されていますので、通常3年~5年ごとに新しいハードウェアトークンに取り換える必要があります。

一方でソフトウェアトークンは有効期限はありませんが、スマートフォンやコンピュータにトークン用アプリをインストールする必要がありますので、ITに詳しくない方は初期導入が難しく感じる場合があります。

ワンタイムパスワードの仕組み

ワンタイムパスワードを生成する仕組みとして時刻同期方式とチャレンジ&レスポンス方式の2種類あります。

時刻同期方式

ハードウェアトークンなどユーザの手に渡ると認証サーバとネットワーク接続ができない場合に多く使われるのが時刻同期方式です。

ワンタイムパスワード、時刻同期方式の仕組み

時刻同期方式の場合、ハードウェアトークンにあらかじめ時刻をキーの1つとするアルゴリズムを組み込んでおく事でハードウェアトークンと認証サーバで同じトークン番号を表示する事ができます。

時刻同期方式の場合は時間がとても重要となります。ですので認証サーバで時刻がずれてしまうと、認証サーバで生成するトークン番号とハードウェアトークンで生成するトークン番号にずれが出てしまい、認証が成功しなくなる場合があります。時刻がずれるパターンとして、ハードウェアトークン側で電池切れなどが発生して時刻がずれる事もあります。しかしながら、製品の多くは管理サーバ側で多少の時刻のずれを調整する仕組みがあり、必要に応じてトークン単位で修正が可能となっています。

チャレンジ&レスポンス方式

チャレンジ&レスポンス方式ではクライアントがサーバに対して認証リクエストを送信すると、サーバがランダムな文字列を生成して「チャレンジ」としてクライアントに送信します。クライアントではそのランダムな文字列とあらかじめ設定されているアルゴリズムを利用して新しい文字列を生成します。そしてその新しい文字列をサーバに「レスポンス」として返信します。

サーバ側ではサーバ自身で作成したランダムな文字列とクライアントと同じアルゴリズムを利用して新しい文字列を生成し、クライアントから送信された文字列と比較します。比較した結果、文字列が一致していれば認証します。

ワンタイムパスワード、チャレンジ&レスポンス方式

広告

広告

-図解サイバーセキュリティ用語

関連記事

プロキシサーバとは? 図解サイバーセキュリティ用語

プロキシサーバとは、クライアントが内部ネットワークから外部のWebサーバ等にアクセスする際に、クライアントに代わって代理で通信を行う事によって通信の高速化を図ると同時にセキュリティの確保を行うサーバの …

サイバー保険とは? 日本におけるサイバー保険の現状 図解サイバーセキュリティ用語

少し前まではサイバー攻撃は映画やドラマの中で行われる、めったにない事件という認識があり、時々ニュースになると非常に驚いていたと思います。しかしながら最近ではサイバー攻撃は毎日のように発生しており、誰も …

no image

メルトダウンとスペクター、CPUの脆弱性

インテル系のCPUに脆弱性が見つかりました。それらはメルトダウンとスペクターと名付けられています。メルトダウンとスペクターの脆弱性は、アプリケーションが他のアプリケーションで利用しているメモリ領域を読 …

キーロガーとは 図解サイバーセキュリティ用語

キーロガー(keylogger)とはパソコン等のキーボードの入力を監視してそれを記録するソフトウェアの事を言います。キーロガーによって記録された情報からユーザが何をタイプしたのかがわかります。つまり、 …

リスクの保有・低減・回避・移転

リスクとは被害を被る可能性の事です。ITではリスクは脆弱性・脅威・情報資産の3つの組み合わせによって表現する事ができ、その発生頻度や影響度によってリスクに対する対策が変わってきます。リスク対策として4 …