|
|
|
 |
|
第135回:ワンタイムパスワード とは
|
|
|
 |
大和 哲
1968年生まれ東京都出身。88年8月、Oh!X(日本ソフトバンク)にて「我ら電脳遊戯民」を執筆。以来、パソコン誌にて初歩のプログラミング、HTML、CGI、インターネットプロトコルなどの解説記事、インターネット関連のQ&A、ゲーム分析記事などを書く。兼業テクニカルライター。ホームページはこちら。
(イラスト : 高橋哲史) |
|
■ 毎回変わるパスワード
ワンタイムパスワード(One Time Password、OTP)とは、利用する際に毎回異なる文字列となる暗証番号やパスワードのことです。別名「使い捨てパスワード」とも呼ばれます。
たとえば、銀行のATMやインターネットの会員制サイトにアクセスする際には、ユーザーは、口座番号やユーザーID、パスワードを入力します。このIDとパスワードをチェックして正しければ、アクセスしているのは正しいユーザーだとATMやサーバーがみなして、利用者用の操作を実行します。
このように「正しい利用者であることをチェックする」ことを「認証」と呼びますが、ワンタイムパスワードを使った認証は「ワンタイムパスワード認証」と呼ばれます。
■ 盗み見・盗聴に強いワンタイムパスワード
|
|
|
鷹山の無線アクセス実験サービス「bitstand」は、ページャーへワンタイムパスワードを送信して利用する
|
ワンタイムパスワード認証を使ったサービスは、厳しくセキュリティを確保しなければならない法人向けのネットワーク構築などに使われます。これは、普通のパスワードや暗証番号に比べて、ワンタイムパスワードには「盗み見・盗聴に強い」という特徴があるからです。
ネットワーク上でのデータのやりとりは常に盗聴や盗み見の危険と背中合わせで、しかも、多くの場合、盗み見されたことはデータが悪用されるまでわからないことが多いという厄介な問題があります。たとえば、あるネットワーク上にデータを盗聴するための機械がしかけられていたとしましょう。そして会社のネットワークにアクセスするため、IDと普通のパスワードを使ったとします。このときにIDとパスワードが盗聴器のしかけられたネットワークを通ってしまうと、第3者にはその内容を覗き見できてしまいます。
もし、この第3者が悪意のある人物であれば、IDとパスワードを使って会社のネットワークに侵入するでしょう。しかも、会社のネットワークとしては、そのIDとパスワードが使われていれば、ネットワークに入ってきたのはそのIDの本来の利用者とみなさざるとえませんから、悪意を持って侵入したかどうかは全くわからないのです。そして、このような場合は大抵、情報が漏れたり破壊活動がネットワーク内部で行なわれてからやっとIDとパスワード漏洩がわかります。
これに対して、ワンタイムパスワード認証では、このようなことは起こりません。
ワンタイムパスワード認証を利用している会社のネットワークでは、社員がノートパソコンなどモバイル環境で外出先から社内のネットワークにアクセスするためには、ユーザー名と、毎回変わるワンタイムパスワードを入力してアクセスするようになります。
第3者がこのIDとパスワードを覗き見して、手に入れたIDとパスワードを使って社内ネットワークにアクセスしようとしたとしましょう。しかしながら、社内ネットワークはこの第3者のアクセスを許しません。なぜなら、ワンタイムパスワード認証では、この時には既にアクセスに必要なパスワードが変わってしまっているので、前回使ったパスワードと同じものではないからです。つまり、ワンタイムパスワード認証では、パスワードそのものが盗まれても不正利用をすることができないのです。
ただし、毎回変わるといっても、パスワードはネットワークと利用者にしか分からないような一定の規則に従って変わりますので、ネットワーク側は、ユーザーが正しいパスワードを入れたかどうかをチェックできるのです。
■ ケータイがパスワード生成器に
もちろん、ワンタイムパスワードの生成規則が、盗んだパスワードなどから簡単に第3者にわかってしまうようでは意味がありません。そのため、パスワードの生成規則は非常に複雑になっています。
ただ、あまり複雑なパスワードの作り方では、人間がパスワードを1回1回考えて入力するのは非常にやっかいで実用になりません。そこで、このワンタイムパスワードを利用する際には、なんらかの「パスワード生成器」を利用するのが一般的です。パスワード生成器には、専用のハードウエアを利用することも多いのですが、最近では、最近では、PDAや携帯電話を利用するものもいくつか発表されています。
たとえば本誌の5月28日のニュースでは、RSAセキュリティが、auのezplus対応端末やJ-フォンのJava対応端末で動作するワンタイム・パスワード生成ソフトウェア「RSA SecurID ソフトウェア トークン」の提供を6月16日から開始することが伝えられています。
この仕組みでは、携帯電話にワンタイムパスワードを生成できるJavaアプリケーションを導入・実行しておき、あらかじめ決めておいた暗証番号を携帯電話に入力すると、ワンタイムパスワードが表示されるので、これを使ってモバイル環境からワンタイムパスワード認証するサイトなどへアクセスできるようになっています。
このほか携帯電話を利用したものとしては、既にNTTコミュニケーションズが法人向けのサービス「モバイルコネクト」というサービスを提供しています。
このサービスで使われるワンタイムパスワードは、Javaではなく乱数表を使ったものです。携帯電話でモバイルコネクトのサイトにアクセスすると、毎回違った乱数表が表示されるので、この表のなかからあらかじめ自分の決めておいた位置にある数字を入力します。乱数表に表示されている数字が毎回違うので、結果的に入力されるパスワードも違う、ということになるわけです。
■ URL
RSA SecurID ソフトウェア トークン
http://www.rsasecurity.com/japan/products/securid/software_token.html
■ 関連記事
・ J-フォンやauのJava対応端末向けにパスワード自動生成ソフト
(大和 哲)
2003/06/04 12:42
|
|
|
|
|
|
