コンタクトレンズとパスワードは鮮度が命──ワンタイムパスワード：クライアントセキュリティ大作戦（2/4 ページ）

[小林哲雄，ITmedia]

チャレンジ＆レスポンス方式のバリエーション

　ただし、チャレンジ＆レスポンス方式では、サーバから渡されたキーワードから、入力するパスワードを作成するためにプログラムを用いるため、ITリテラシーの高くない一般ユーザー向けには活用しにくい。また、モバイル環境などでの利用も難しい。

　OTPに近い形でパスワードを顧客に入力させる方法として、従来はマトリックス暗号表方法を利用している銀行がいくつかあった。あらかじめ複数のパスワードが印字されたものを用意しておき、たとえばログイン画面に「E5に書いてあるパスワードを入力してください」などと表示することで複数のパスワードを利用する。

今回セキュリティキーを追加する三井住友銀行のオンラインバンキングが従来使っていたキーコード表。口座番号とオンラインバンキングの番号を別にし、さらにカード内の16 の数字を用意することで対処していた。（注：写真のコード表はサンプルで、実在しないデータとIDとなっている）

今後もキーコード表を使うセブン銀行はキャッシュカードの裏面にパスワード（この中の2つをランダムで使用する）を使用し、キャッシュカードがないと事実上オンラインバンキングが利用できない。（注：写真のコード表はサンプルで、実在しないデータとIDとなっている）

　マトリックス暗号表方式は入力できるパスワードの組み合わせがある程度限定されるが、ワンタイムパッド同様、必要に応じて再配布しやすい。ただし、マトリックスは数を多くすると表を読み間違える可能性があり、変形として窓付きの回転盤を回して窓に現れる文字列を入れるという方法もある。

　もうひとつ、画面に毎回ランダムで現れる数字と英字の対応表を使用して、入力文字を毎回変える銀行もある（画面1）。どちらもチャレンジ＆レスポンスの変形といえるだろう。

画面1

　OTPを利用する場合、問題になるのはすでに述べたように、どのようにして毎回のパスワードを生成するかだ。OTPのうち、時刻同期方式をより容易に一般ユーザーに利用させるための方法が、時計と固有のIDを内蔵し、それらからパスワードを作成するセキュリティトークンを使用する方法(※3)だ。

※3　セキュリティトークンによる時刻同期方式では、チャレンジ＆レスポンス方式におけるチャレンジ文字列としてそのときの時刻を、パスフレーズとしてトークン固有のIDを利用する。