セキュリティの強化に利用されるワンタイムパスワードの方式には、「タイムシンクロナス(TOTP)」と「チャレンジアンドレスポンス」という、大きく分けて2種類の認証方式があります。

時間によってパスワードが生成される「タイムシンクロナス方式」

ログインのたびに異なるパスワードを利用するワンタイムパスワードには、主に次の2種類の認証方式があります(実際には3種類ありますが、主に利用されているのは2種類です)。ひとつが「タイムシンクロナス方式」、もうひとつが「チャレンジアンドレスポンス方式」です。
タイムシンクロナス方式(時刻同期方式)は、「Time-basedOne-Time Password」の頭文字をとって「TOTP方式」とも呼ばれます。一般的には「ハードウェアトークン(以下、ハードトークン)」という、上図のような小型機器をユーザーが所持・携帯し、これが生成・表示するワンタイムパスワードを、ログイン時に入力する仕組みです。ハードトークン自体は、サーバーと通信する必要がないことがひとつの特徴です(パソコン等、実際にネットワークを通じてシステムにログインする機器には、もちろん通信環境が必要です)。
タイムシンクロナス方式では、ワンタイムパスワードを生成するための情報として「時刻」を使います。時刻情報をハードトークンと認証サーバーの双方が持ち、お互いの時刻を同期したうえで、ワンタイムパスワードが決定されるのです。
通常、ワンタイムパスワードには、そのパスワードが有効な制限時間(例えば表示されてから30秒間等)が設けられます。その時間を過ぎてしまうと、また新たなパスワードが必要になります。ですから、ハードトークンで表示するパスワードは、いわば時限パスワードといえるでしょう。
この方式は、銀行のオンラインバンキングの振込時等に利用されています。ユーザーはハードトークンに表示されるパスワードを確認するために、ハードトークンを所持していなければなりません。したがって、この方式の認証は“パスワード”と名前が付いていながらも、記憶していないので「I Have認証」なのです。
物理的なデバイスを用いる「I Have認証」は、どうしても紛失や盗難に弱いという部分があります。ですので、現在のハードトークンでは、ハードトークンに表示されるパスワードと、あらかじめ決めておいた「PINコード」(4桁の数値等)を組み合わせて入力する機能が付いている場合が多くなっています。

アクセスのたびにパスワードを生成する「チャレンジアンドレスポンス方式」

「チャレンジアンドレスポンス方式」は、ユーザーが入力すべきパスワードを、認証サーバーとのやり取りによって、その都度生成する方式です。チャレンジアンドレスポンス方式による認証の流れは、次の通りです。
まず、ログイン認証を受けたいユーザーが、認証サーバーに対してユーザーIDを送信します。それに対して認証サーバー側は、ユーザーに対して特殊なランダムのコードを送り返します。コードを受信したユーザーは、そのコードを基に「パスワード生成ツール」や「変換ルール」を使ってパスワードを作り、サーバーに送り返します。サーバー側でも、ユーザーと同じ手順でパスワードを生成しており、ユーザーから送られたパスワードと照合して、認証を行います。
これはいわば、認証を受けたいユーザーと認証を行うサーバーとの間で、“合言葉”のやり取り(例えば“山”と言われたら“川”と答える合言葉)を行うような方式といえます。
このやり取りの中で、認証サーバー側がユーザーに対して最初に送り返すコードを「チャレンジ」コード(合言葉では“山”)、チャレンジコードを受け取ったユーザー側が生成してサーバー側に送り返すコードを「レスポンス」コード(合言葉では“川”)と呼びます。これらを合わせて「チャレンジアンドレスポンス」という呼び名になるわけです。
サーバーとの通信を必要としないタイムシンクロナス(TOTP)方式に対し、チャレンジアンドレスポンス方式は、サーバーとの通信が必須となります。
現在「パスワード生成ツール」といったハードウェアや計算式を使った方式は、ICカードのチェック等に形を変えて利用されており、ワンタイムパスワードとしてのログイン認証では、ほとんど使われていません。
ですが、新型のチャレンジアンドレスポンスとして「変換ルール」を使った方式は、「記憶したパターンを使ってパスワードを判別する」という「パスロジック方式」を応用した製品「PassLogic」において使用されています。
人間が記憶している「変換ルール」を使ったチャレンジアンドレスポンス方式では、タイムシンクロナス方式のハードトークンのような物理デバイスを常に所持している必要がないため、「I Have認証」ではありません。「変換ルール」を記憶する「I Know認証」の一種となります。

「ITセキュリティ強化の道」記事カテゴリ

※この記事は、パスロジムック「ITセキュリティ強化の道 ~「認証」を極めて、セキュリティ&業務効率UP!~」から抜粋・転載した内容です。