OTPに近い形でパスワードを顧客に入力させる方法として、従来はマトリックス暗号表方法を利用している銀行がいくつかあった。これは、あらかじめ複数のパスワードが印字されたものを用意しておき、たとえばログイン画面に「E5に書いてあるパスワードを入力してください」などと表示することで複数のパスワードを利用する(写真1)。マトリックス暗号表方式は入力できるパスワードの組み合わせがある程度限定されるが、ワンタイムパッド同様、必要に応じて再配布しやすい。ただし、マトリックスは数を多くすると表を読み間違える可能性があり、変形として窓付きの回転盤を回して窓に現れる文字列を入れるという方法もある。
もうひとつ、画面に毎回ランダムで現れる数字と英字の対応表を使用して、入力文字を毎回変える銀行もある。どちらもチャレンジ&レスポンスの変形といえるだろう。
OTPを利用する場合、問題になるのはすでに述べたように、どのようにして毎回のパスワードを生成するかだ。OTPのうち、時刻同期方式をより容易に一般ユーザーに利用させるための方法が、時計と固有のIDを内蔵し、それらからパスワードを作成するセキュリティトークンを使用する方法だ。
国内では三井住友銀行とジャパンネットバンク(JNB)がセキュリティトークンを利用するプレスリリースを出している。
三井住友銀行は2006年1月12日に発表した。同社のインターネットバンキング「One's ダイレクト」の利用者のうち、希望者は月105円でOTPによる認証を利用できる。元々One's ダイレクトはマトリックスカードを配布していたが、OTPも利用するようになる。希望者にはすでに配布を開始しているほか、利用促進のキャンペーンも行っている。
JNBは2006年1月26日に発表した。JNBはインターネット専業で店舗を持たないため、トークンは基本的に全員配布となるが、これに伴い口座維持管理料が月105円から189円に値上げとなる(管理料免除条件あり)。配布は5月ごろより順次開始し、9月ごろを目処に全員に配布を完了するという。どちらもRSAセキュリティのRSA SecurIDハードトークン(SID700)を採用するようだ。
Copyright© 2010 ITmedia, Inc. All Rights Reserved.