ワンタイムパスワードについて。


ワンタイムパスワードは、ワンタイムパスワード生成器というものとあらかじめサーバとクライアントで共有しているトークン(パスワード?)があり、生成器にそのトークンを入力すると一定時間だけ有効なパスワードが得られる。そのパスワードを入力すると認証に成功する。

という理解なのですが、共有のトークンを入力すれば誰でもワンタイムパスワードを得られるとすればあまり意味の内容に思うのですが、理解が間違っているでしょうか?

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2011/10/08 00:05:24
  • 終了:2011/10/15 00:10:09

回答(5件)

id:seble No.1

seble回答回数4680ベストアンサー獲得回数6172011/10/08 07:31:53

ポイント20pt

パスワードは一定時間(30秒程度)ごとに自動生成され、その順序はサバと共有されますが、トークンごとに全て異なっており、同じ時間に同じパスワードは存在しない事になっています。

いわゆるトークンはパス生成機の事です。

トークンがパスを自動生成するのであって、パスそのものではありません。

パスはトークンに表示され、時間ごとにアトランダムに変化し、その順序をサバが知っているだけです。

口座番号に紐付けられた生成順に従ってサバでもパスが生成され、入力されたパスを認証します。

ですから、万が一、サバかトークンの時間が狂うと認証されなくなります。トークンは内蔵電池で駆動されますので、一定期間ごとに丸ごと交換されます。

電池だけ替えると時間が合わなくなります。

id:monyot No.2

monyo回答回数146ベストアンサー獲得回数182011/10/08 11:28:22

ポイント20pt

ワンタイムパスワードの目的は、ネットワークを覗き見している人(装置)にユーザ名やパスワードを読み取られてしまうことに対する防御です。


パスワードは一度しか使われないので、例え読み取られてしまったとしても、同じパスワードを次回入力しても認証されないためセキュリティ上の問題なしというところがメリットです。もちろん、ユーザがいろいろなシステムで共通のパスワードを用いてしまうことを抑止するメリットもあります。


ですから、トークンが盗まれないようにする対処は別途行う必要があります。


また、通常はワンタイムパスワードに加え、いわゆる一般的なパスワードによる認証など、別の認証も組み合わせることで、万一トークンが盗まれた場合でも実質的な被害の発生を抑止するような方策が採られています。

id:fmht7 No.3

fmht7回答回数642ベストアンサー獲得回数642011/10/08 22:06:32

ポイント20pt

> 共有のトークンを入力すれば誰でもワンタイムパスワードを得られると意味がない

おっしゃる通りです。

いろいろ設定ができますが、トークンは必ず本人のみが使用する前提としてトークンだけをパスワードとする場合もあれば、トークンが盗難された場合に備えてパスワードをPIN+トークンとする場合があります。

2. SecurID認証トークンに表示される数字だけで認証を行うのですか?

いいえ。 SecurID認証トークンの盗難、紛失による悪用を防ぐため、SecurID認証トークンに表示される数字(この数字をトークンコードといいます。)とPIN(Personal Identification Number)と呼ばれる通常4桁の個人識別番号の組み合わせてワンタイムパスワード(パスコードともいいます。)を作ります。これを二要素ユーザー認証と呼んでいます。通常、PINは初回認証時にユーザーが決めます。PINは銀行で使うキャッシュカードの暗証番号と同様で使用者のみが知るもので大切に保管されるべきものです。

RSA SecurID
id:timaihara No.4

timaihara回答回数1ベストアンサー獲得回数02011/10/11 15:17:18

ポイント20pt

トークンと鍵を誤解されているみたいです。

正確に言うとワンタイムパスワードは各生成器(トークン)にユニークな鍵が工場でセットされていて、サーバ側にも同じ鍵を保持しています。その鍵、そして時刻又は回数情報を元にワンタイムパスワードが生成されます。

生成器にサーバから表示される数字を入力して乱数を発生させるチャレンジ&レスポンス形式のワンタイムパスワードは上記に加えてその変数もワンタイムパスワード計算の素として利用されます。

ボタンを押してワンタイムパスワードを表示、又はボタンが無いワンタイムパスワード生成器を利用している場合、ユーザ名+ワンタイムパスワードだけでは生成器を落とした場合に悪用される可能性があるので、暗証番号又は固定パスワードを併用することにより認証強度を高めています。

どうやって認証が行なえるかはユーザ名に対して、トークンのID、そして鍵、パスワード等がひもづけられていて、認証時にサーバ側でも計算と照合を行なうことにより、その乱数がそのトークンから生成されたものかを判断します。

トークン内の鍵は簡単に取り出せず、サーバ側でも暗号化されています。従ってこの鍵の安全が担保されていれば安全は保たれます。

id:papavolvol No.5

papavolvol回答回数1074ベストアンサー獲得回数1982011/10/11 16:51:16

ポイント20pt

ワンタイムパスワードの仕組みを説明します。

  1. サーバーとワンタイムパスワード生成機は、何回パスワードを発行して使ったか、という数字を共有しています。
  2. サーバーとワンタイムパスワード生成機は、ユーザーに固有のパスコードを共有しています。
  3. サーバーは上記の2つの数字、つまり「何回目のパスワードか」「ユーザー固有のパスコードは何か」の2つの数字を元に、ビット計算して、今回使用するワンタイムパスワードを算出します。
  4. ワンタイムパスワード生成機も上記の2つの数字、つまり「何回目のパスワードか」「ユーザー固有のパスコードは何か」の2つの数字を元に、ビット計算して、今回使用するワンタイムパスワードを算出します。

上記の方法で、サーバーが算出したパスワードと、ワンタイムパスワード生成機が算出したパスワードは一致します。よって、認証が可能になります。

パスワードは30秒ごとに再計算するように、規格が定めています。

パスワードの算出に使われる「何回目のパスワードか」「ユーザー固有のパスコードは何か」の2つの数字は第三者に知られることはありませんから、安全です。

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません