ワンタイムパスワード認証
2022-12-06 (火) 09:08:15
ワンタイムパスワード認証 とは †
名称 †
- OTP(One Time Password)
概要 †
- 使い捨てパスワード方式
- ワンタイム(毎回異なる)のパスワードを使った認証。
- 盗聴などによりパスワードが漏洩しても、不正アクセスを防ぐ可能性が高い
- 生成するパスワードが推測されないようにする必要がある
- パスワードは疑似乱数文字列を使う。
- 認証する度にパスワードが発行されるので、ユーザーがパスワードを記憶する必要がない
- 仕組み上、ユーザーが記憶・記録することに意味がない仕組みにする必要がある
- パスワードを発行してから一定期間経つと使うことができなくなるなど
ワンタイムパスワード生成の仕組み †
- 事前にパスワードリストをシステムとユーザとが共有して順番に使う。
- パスワード発生器(トークン)をユーザが保持して、認証の都度パスワードを生成する。
- パスワード生成は、時刻情報や利用者固有の鍵を元に行う。
- パスワード生成は、共通の鍵を元に行う。
- スマートフォンのソフトウェアでハスワード発生器の機能を実装する。
- サーバ側で生成したパスワードを、あらかじめ登録しておいた信頼できる電話番号へのメールやSMS、音声メッセージでユーザに通知する。
ワンタイムパスワードの種類 †
TOTP †
- Time-based One Time Password
- RFC6238
- 「TOTP」参照
HOTP †
ワンタイムパスワードの実現方式 †
チャレンジレスポンス方式 †
- 「チャレンジ・レスポンス認証」参照
S/Key方式 †
- 「チャレンジ・レスポンス認証」参照
トークン(携帯認証装置) †
- 専用のパスワード生成システム(トークン)を使って行う方式
- 時刻同期式
- タイムシンクロナス方式
- サーバとクライアントで時間の同期をとり、日時とPIN(ユーザの個人識別番号)を使ってワンタイムパスワードを生成する。
トークンデバイス †
- Gemaltoトークン
関連サイト †
- ワンタイム・パスワード - WikiPedia
https://ja.wikipedia.org/wiki/%E3%83%AF%E3%83%B3%E3%82%BF%E3%82%A4%E3%83%A0%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89
- SMS認証の仕組みと危険性、「TOTP」とは? 「所有物認証」のハナシ (2019/4/8) - ITmedia
https://www.itmedia.co.jp/news/articles/1904/08/news026.html
- ワンタイムパスワードジェネレータを作った (2015/5/6) - ぶていのログでぶログ
https://tech.buty4649.net/entry/2015/05/06/%E3%83%AF%E3%83%B3%E3%82%BF%E3%82%A4%E3%83%A0%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%82%B8%E3%82%A7%E3%83%8D%E3%83%AC%E3%83%BC%E3%82%BF%E3%82%92%E4%BD%9C%E3%81%A3%E3%81%9F
- 第508回 Ubuntuでコマンドラインからワンタイムパスワードを扱う - Gihyo.jp
https://gihyo.jp/admin/serial/01/ubuntu-recipe/0508