- ベストアンサー
ログインパスワード
キャッシュカード型のサイズの「8桁くらいの番号が生成される」のがあるようです。この番号をログイン時にパスワードとして入力すると、ログインできるというような?ワンタイムパスワード生成機のようです。 この仕組みはどのようなものなのでしょうか? 例) 1、あらかじめ会社サーバにはパスワードAをセットしておく。 2、個人の持つカード型生成機にもパスワードAをセットしておく。(これはメーカー側で暗号化されている) 3、個人カードでランダムに生成される4桁の番号に2のパスワードで生成した残り4桁を、個人カードに液晶表示する 4、これをログイン時入力させる 5、サーバ側は受け取った先頭4桁の番号と、記憶してあったパスワードAで残り4桁を生成する。 6、合致すれば、ログインを許す。 カード型の生成機のパスワードAはメーカー側で暗号化され、カード内のROMに焼かれて販売されている。 というようなものなのでしょうか?
- ネットワーク
- 回答数4
- ありがとう数2
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
カードには時計が入っていて、カードIDごとに時刻に同期した暗号が表示される。 認証サーバにも時計があり、カードからの暗号を解読し正しいカードIDからのアクセスであることを確認する。 これだけだと、カードを紛失時に利用されてしまう危険性があるので、実際のパスワードには、本人しか知らない何桁かの数字+カードが表示した数字を使う。 さらに、カードとサーバとで時刻の違いが出るおそれがあるので、認証ごとにサーバ側では、暗号文からカードの時計が持っている時刻を割り出し、そのカードに対する時刻合わせを行う。 カードとサーバとで時刻が大幅にずれてしまった場合には、認証は許可せず、管理者対応(手動でそのカードIDに対するサーバの設定変更) 数年前ですが、こんな感じだったかと思います。
その他の回答 (3)
こんばんは。 まずは、下記のURLで概要がつかめると思います。 ■@IT 総合検索結果■ Copyright(c) 2000-2005 atmarkIT ↓ http://www.atmarkit.co.jp/aig/02security/onetimepassword.html ワンタイムパスワードは、「チャレンジ・レスポンス方式」と呼ばれる、認証の実現に関する大きな枠組み(考え方)の中の一つの実現・実装方法です。(現在、ご質問の"RSA"によるものを含め、様々な実装(仕様)が存在しています。) 上記の用語解説の内容を踏まえた上で、再度ごく大雑把に仕組みをまとめると、 ↓ 「事前共有鍵(パスワードやPINナンバーなど、事前共有した秘密)」に「その場限りの共通の約束事や操作(チャレンジ)」を加えると、「その場限りの唯一無二の結果(レスポンス)」となる(ただしこの結果からはパスワード自体は逆算できない。) ↓ という法則を利用したものだという捉え方も出来、要は「虎の子の情報自体はやり取りしないが、それを持っていることを証明することにより、逆説的にパスワード(PINナンバーなどの顧客ID)を確認する仕組み。」を実現しているという言い方にでもなるでしょうか。(加えて、ワンタイムパスワードの場合、仮にその場の認証情報が流出してしまった場合でも、使いまわしが効かない(盗むメリットが無くなる)という側面も持ち合わせていますね。) ちなみに、いわゆる「チャレンジ・レスポンス方式」をとりながらも、事前共有鍵(情報)を持つ必要性が無い(特定の組織と不特定多数の安全な通信を可能にする)セキュリティー実装方法として、Web上でよく見かける"SSL"が挙げられます。 より正確に言うと、SSLは「公開鍵暗号方式」の一つの派生形態で、「公開鍵と秘密鍵のペア」を使い、「秘密を事前共有していない者同士が安全に乱数を基にしたチャレンジ・レスポンスを実現するための仕組み」となっています。 SSLでは、RSAのハードウェア・トークンのように、クライアントを認証することはできませんが(補足的に「クライアント認証(証明書)」の仕組みを導入することは可能ですが)、安全性と”利便性”のバランスをとった実装方法であるとも言えるでしょう。 逆に金融業界の顧客(口座)保護など、”なりすまし”を含めた真の意味での”認証”を実現するためには、ご質問のような「クライアント自身の正当性を証明できる仕組み」を導入する事が、有効な対策となり得るということですね。(これに加え、ネットバンキング等では、SSL通信の利用(ブラウザ上のアドレスバーで、https://で始まる当該サイトのURL(ドメイン名)を確認するとともに、「鍵アイコン」からたどれる「サーバー証明書」の内容(特に発行者と認証局)を目視確認するのが理想)を併用した、ユーザーによる事業者の身分確認(認証)をも考慮すべきだともいえるでしょう。) 話がそれましたが、既述の内容を含め、「パスワード自体をやり取りせずに(特にネットワーク越しに)認証を実現する考え方」応用したセキュリティー実装は、他にも広く普及しています。(典型的にはWindows(OS)の認証方法など。) ただし、その実装方法(利用される技術や仕様)は様々ですので、より正確な理解のためには、やはり個別の学習が必要になってくると言うのも事実だと思います。 ところで、これは、セキュリティーがらみの問題に限らないことだと思いますが、下記の「Google検索結果」のように、現在ではネット上にも豊富な技術的な情報・解説がありますので、今後疑問点が出た場合、まずネット上に既存の有益な情報が無いか検索してみて、それでも不明な点があれば当サイトのような場で質問をたてる(できるだけ具体的な状況説明とともに)ようにされた方が良いかもしれない…、という点も私からのアドバイスとして付け加えさせてください。(初見の方に対して不遜な物言いで恐縮ですが…) ■Google 関連キーワードによる、<and検索>結果■ ↓ http://www.google.com/search?hl=ja&q=%E3%83%AF%E3%83%B3%E3%82%BF%E3%82%A4%E3%83%A0%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%80%80RSA&btnG=Google+%E6%A4%9C%E7%B4%A2&lr= 以上、他の回答者と内容のかぶっている部分もありそうですが、参考になさってみてください。 それでは。
- Toshi0230
- ベストアンサー率51% (836/1635)
昔、なにかで聞いたことがあるだけなので違っているかもしれませんが… > 1、あらかじめ会社サーバにはパスワードAをセットしておく。 > 2、個人の持つカード型生成機にもパスワードAをセットしておく。(これはメーカー側で暗号化されている) 3. 個人に割り当てられた4桁の認証番号(PINコードといいます)と、サーバへのアクセス時にサーバが提供した?桁の数字から、カード側でパスワードAを元にした数字(または文字列)を算出する > 4、これをログイン時入力させる 5. サーバ側は、自分が記憶している4桁のPINコード、提示した?桁の数字から、(カードと同じ計算式で)数字(または文字列)を算出する > 6、合致すれば、ログインを許す。 こんな感じだったかと。 詳しくはRSAの人に聞いた方がよいかも。
- tatu1
- ベストアンサー率23% (12/52)
ICカードを使用する ユーザー認証アクセス制御ソフトウェア? ということですかね? パソコンの話ですよね。 サーバー管理者側の立場の話をされているのかな? そういう話であれば Win系で知ってるソフトはいくつかありますよ。
お礼
パソコンのことでもあり、サーバへの認証でもあったりします。 RSAという会社にカードがありますが、その仕組みの概略がしりたかったのです。 みていたら、何秒か毎に、数字が表示されます。その数字を入れ込むことで、ログインできるようでした。 初歩でいいので、仕組みがしりたいのです。
お礼
みなさんありがとうございました。