ワンタイムパスワード認証の履歴(No.7) - ウェブトラッカー

[ トップ ] [ 新規 | 一覧 | 検索 | 最終更新 | ヘルプ | ログイン ]

履歴一覧
差分を表示
現在との差分を表示
ソースを表示
ワンタイムパスワード認証へ行く。
- 1 (2021-11-14 (日) 21:03:28)
- 2 (2021-11-15 (月) 12:46:14)
- 3 (2022-02-18 (金) 09:45:03)
- 4 (2022-05-09 (月) 10:58:02)
- 5 (2022-05-28 (土) 15:59:01)
- 6 (2022-07-16 (土) 07:22:07)
- 7 (2022-12-06 (火) 09:08:15)

ワンタイムパスワード認証とは†

名称†

OTP（One Time Password）

概要†

使い捨てパスワード方式
ワンタイム（毎回異なる）のパスワードを使った認証。
盗聴などによりパスワードが漏洩しても、不正アクセスを防ぐ可能性が高い
生成するパスワードが推測されないようにする必要がある
- パスワードは疑似乱数文字列を使う。
認証する度にパスワードが発行されるので、ユーザーがパスワードを記憶する必要がない
- 仕組み上、ユーザーが記憶・記録することに意味がない仕組みにする必要がある
- パスワードを発行してから一定期間経つと使うことができなくなるなど

パスワード認証などとの併用が望ましい。（多要素認証）

生成
- ハードウェア（セキュリティキー）
- ソフトウェア（認証アプリ）
送信
- 電子メール
- SMS
バックアップコード

ワンタイムパスワード生成の仕組み†

事前にパスワードリストをシステムとユーザとが共有して順番に使う。
パスワード発生器（トークン）をユーザが保持して、認証の都度パスワードを生成する。
パスワード生成は、時刻情報や利用者固有の鍵を元に行う。
パスワード生成は、共通の鍵を元に行う。
スマートフォンのソフトウェアでハスワード発生器の機能を実装する。
サーバ側で生成したパスワードを、あらかじめ登録しておいた信頼できる電話番号へのメールやSMS、音声メッセージでユーザに通知する。

ワンタイムパスワードの種類†

TOTP†

Time-based One Time Password
RFC6238
「TOTP」参照

HOTP†

HMAC-based One Time Password
RFC4226
「HOTP」参照

ワンタイムパスワードの実現方式†

チャレンジレスポンス方式†

「チャレンジ・レスポンス認証」参照

S/Key方式†

「チャレンジ・レスポンス認証」参照

トークン(携帯認証装置)†

専用のパスワード生成システム(トークン)を使って行う方式
時刻同期式
- タイムシンクロナス方式
- サーバとクライアントで時間の同期をとり、日時とPIN(ユーザの個人識別番号)を使ってワンタイムパスワードを生成する。

トークンデバイス†

Gemaltoトークン

関連サイト†

ワンタイム・パスワード - WikiPedia
https://ja.wikipedia.org/wiki/%E3%83%AF%E3%83%B3%E3%82%BF%E3%82%A4%E3%83%A0%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89

SMS認証の仕組みと危険性、「TOTP」とは？　「所有物認証」のハナシ (2019/4/8) - ITmedia
https://www.itmedia.co.jp/news/articles/1904/08/news026.html

ワンタイムパスワードジェネレータを作った (2015/5/6) - ぶていのログでぶログ
https://tech.buty4649.net/entry/2015/05/06/%E3%83%AF%E3%83%B3%E3%82%BF%E3%82%A4%E3%83%A0%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%82%B8%E3%82%A7%E3%83%8D%E3%83%AC%E3%83%BC%E3%82%BF%E3%82%92%E4%BD%9C%E3%81%A3%E3%81%9F

第508回　Ubuntuでコマンドラインからワンタイムパスワードを扱う - Gihyo.jp
https://gihyo.jp/admin/serial/01/ubuntu-recipe/0508

関連用語†

フィッシング
セキュリティ
認証
パスワード
パスワード認証
認証アプリ
S/Key
OATH (initiative for Open AuTHentication)