図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

ワンタイムパスワードとは 図解サイバーセキュリティ用語

投稿日:

ワンタイムパスワードは二要素認証の「ユーザが持っているもの(Something you have)」に該当し、解読不可能な規則によって表示される数字(トークン)をログイン認証の要件とする事で、ログイン認証のセキュリティ強化を図る事ができます。

トークン(Token)

ワンタイムパスワードで生成される数字をトークン(Token)と言う事があります。また、ワンタイムパスワードを生成する機器自体をトークンと言う事があり、例えば、カード式などの物理的な機器の場合はハードウェアトークン、スマートフォンのアプリの場合はソフトウェアトークンと呼びます。

ハードウェアトークンの例 ソフトウェアトークンの例
三井住友銀行のワンタイムパスワードトークン

三井住友銀行のパスワードカード、出典:http://www.smbc.co.jp/kojin/direct/securi/passca/

Google Authenticator

RSA SecureID 700, 出典:https://www.rsa.com/ja-jp/products-services/identity-access-management/securid/hardware-tokens

RSA Software Token, 出典:https://www.rsa.com/content/dam/rsa/PDF/h13819-ds-rsa-securid-software-tokens.pdf

ハードウェアトークンは使い勝手が良く、ITに詳しくない方でも簡単に使えますが、ハードウェアトークンには電池が入っており、約3年~5年ほどで電池が切れてしまいます。それに伴って、ハードウェアトークンの有効期限が設定されていますので、通常3年~5年ごとに新しいハードウェアトークンに取り換える必要があります。

一方でソフトウェアトークンは有効期限はありませんが、スマートフォンやコンピュータにトークン用アプリをインストールする必要がありますので、ITに詳しくない方は初期導入が難しく感じる場合があります。

ワンタイムパスワードの仕組み

ワンタイムパスワードを生成する仕組みとして時刻同期方式とチャレンジ&レスポンス方式の2種類あります。

時刻同期方式

ハードウェアトークンなどユーザの手に渡ると認証サーバとネットワーク接続ができない場合に多く使われるのが時刻同期方式です。

ワンタイムパスワード、時刻同期方式の仕組み

時刻同期方式の場合、ハードウェアトークンにあらかじめ時刻をキーの1つとするアルゴリズムを組み込んでおく事でハードウェアトークンと認証サーバで同じトークン番号を表示する事ができます。

時刻同期方式の場合は時間がとても重要となります。ですので認証サーバで時刻がずれてしまうと、認証サーバで生成するトークン番号とハードウェアトークンで生成するトークン番号にずれが出てしまい、認証が成功しなくなる場合があります。時刻がずれるパターンとして、ハードウェアトークン側で電池切れなどが発生して時刻がずれる事もあります。しかしながら、製品の多くは管理サーバ側で多少の時刻のずれを調整する仕組みがあり、必要に応じてトークン単位で修正が可能となっています。

チャレンジ&レスポンス方式

チャレンジ&レスポンス方式ではクライアントがサーバに対して認証リクエストを送信すると、サーバがランダムな文字列を生成して「チャレンジ」としてクライアントに送信します。クライアントではそのランダムな文字列とあらかじめ設定されているアルゴリズムを利用して新しい文字列を生成します。そしてその新しい文字列をサーバに「レスポンス」として返信します。

サーバ側ではサーバ自身で作成したランダムな文字列とクライアントと同じアルゴリズムを利用して新しい文字列を生成し、クライアントから送信された文字列と比較します。比較した結果、文字列が一致していれば認証します。

ワンタイムパスワード、チャレンジ&レスポンス方式

広告

広告

-図解サイバーセキュリティ用語

関連記事

サイバーセキュリティとセキュリティの違い 図解サイバーセキュリティ用語

サイバーとはインターネットが形成する情報空間の事を表します。ではセキュリティとサイバーセキュリティの違いは何でしょうか?サイバーセキュリティはセキュリティという大きなカテゴリの中の1つの分野です。セキ …

職務分掌・職務分離とは?

職務分掌とは部署や役職ごとに必要な責任や権限を明確にして定義する事を言います。職務分掌と似たような言葉に職務分離があります。ほぼ同じ意味ですが、職務分掌は人事要素が強い一方で職務分離にはコンプライアン …

ハッシュ関数、MD5とSHAとは?

ハッシュ関数とは、あるデータをインプットとしてそのデータを要約する16進数の数列を生成する関数の事を言います。ハッシュ関数はデータ固有の値(ハッシュ値)を生成しますので、データが違うとそのハッシュ値も …

Pass-the-Hash 図解サイバーセキュリティ用語

Pass-the-Hashは、攻撃者がパスワードを利用して認証するのではなく、パスワードのハッシュを利用して認証を行う攻撃の事を言います。 通常、認証システムはユーザのパスワードを平文で保存しているわ …

UEBA(User and Entity Behavior Analytics)とは?

UEBAとはUser and Entity Behavior Analyticsの略で、ユーザやシステムの振る舞いを機械学習する事で、ユーザ/システムの異常な振る舞いや不正な活動を検知する分析技術の事 …