色々種類はありますが、私が初めて触れたのがおそらくコレ
ジャパンネット銀行のカード型トークン
振込など取引の際に使うのですが、そもそもどのような仕組みになっているのかと思い調べてみました。
ワンタイムパスワードとは?
ワンタイムパスワードとは、名前通り一度だけ使える使い捨てのパスワードの事。2回目以降は同じパスワードは利用できないようになっています。
サイト上でパスワードというと登録時のパスワード、ユーザー名を設定して2回目以降そちらを利用しログインなどをするのが一般的ですね。
ただ、こちらの場合、近年問題になっているようにIDやパスワードが流出した場合不正にログインされてしまう可能性があります。
一方ワンタイムパスワードとは毎認証ごとに違うパスワードを利用するため万が一情報が流出して悪用されてもパスワードが使えないのでセキュリティ的に高い安全性が保てるということですね。※トークンの紛失に注意ですが
ワンタイムパスワードの仕組み
そもそもどんな仕組みになってるの?って話
パターンには大きく2つあって「チャレンジレスポンス方式」「タイムスタンプ方式」があります
チャレンジレスポンス方式
チャレンジレスポンス方式は、初めにユーザーからサーバーに対してアクセス要求を送信します。すると認証サーバーはランダムな文字列(チャンレンジ)を生成してユーザーに対して送り返します。ユーザーはその文字列(チャレンジ)を使い、あらかじめ決められているパスワードを計算し、レスポンスとして認証サーバーに送信します。ユーザーが送信したレスポンス(パスワード)と、認証サーバーが計算したパスワードが一致していれば、認証成功となります。
タイムスタンプ方式(時刻同期方式)
タイムスタンプ(時刻同期方式)は最初に紹介したトークンを利用するタイプの認証方式です。トークンで表示されるパスワードは時刻によって生成されるパスワードが異なります。そのため認証サーバーとトークンとの間に時刻のズレがある場合は正しく認証されません。このため時刻を同期させることが必須となります。
認証サーバーではユーザーがどのトークンを使っているか、どの時間帯にどんな数字が表示されるか、などの情報を保有しています。このような仕組みであるため、認証サーバーは正当なトークンの利用者であることを識別でき、同じトークンを別のユーザーが使用しても認証できないような仕組みになっています。
まとめ
ワンタイムパスワードは紹介したネットバンキングやオンラインゲームなどで取り入れられています。少し手間なイメージですが、セキュリティ性は極めて高くこれからいろんな分野で取り入れられて行くと思います。
気になったこと(電池なくなったらどーすんの)
ジャパンネット銀行のトークンを使っていてフと思いました。「これ電池なくなったらどーすんの」
調べてみると
カード型トークン
カード型トークンは、ワンタイムパスワードを18,000回表示させるか、トークン製造から10年を経過するとトークンの交換をお願いするアラート表示「EEEEEE」がされます。
電池が切れるとトークンのご利用ができなくなります。交換のアラートが出ましたら、ホームページから再発行手続をお願いいたします。(手数料無料)
引用
https://www.japannetbank.co.jp/token/onetime/about.html
なにそれ すごい
