特集
» 2006年10月17日 08時00分 公開

クライアントセキュリティ大作戦:コンタクトレンズとパスワードは鮮度が命──ワンタイムパスワード (4/4)

[小林哲雄,ITmedia]
前のページへ 1|2|3|4       

もちろんOTPだけでは不十分

 OTPを使うことにより、第三者がパスワードを盗み出して使用されるリスクを大幅に抑えることができ、管理者に不正アクセスへの対応を減らすことができる。また、トークンの紛失や盗難による無効化も認証サーバによって容易に行える。

 しかし、OTPで防御できるのはパスワードの漏えいだけであり、伝送路の暗号化がなされていない状態では通信の内容は傍受されてしまう。また、なりすましサーバを使用し、認証データを真のサーバに受け渡すことでログインを通過することもできる(※5)。

 さらに防御は容易になるものの、管理コストが増大するというのが欠点だ。

 OTPはログインのパスワード漏えいに伴う偽ログインを止める手段にはなるが、万能ではない。Webサービスならば伝送路の暗号化とサーバのなりすましの防止にSSLを使うなど、複数のセキュリティ対策を組み合わせることが重要となる。

 なお、OTPではないが、認証手段にICカードを文字通り鍵として使用する方法もある。たとえば、NTTコミュニケーションズのセーフティパスはICカードを使ったセキュアサービスで、電子マネーや電子チケット機能だけでなく複数のID/パスワードの管理も行える。

 新銀行東京はキャッシュカードがすべてセーフティパスに対応しており、キャッシュカードを持っていなければオンラインバンキングが利用できない方式に切り替えることができる。

 ICカードを使った認証は、対応するリーダー装置が必要というところがネックとなっており、出先で気軽に使えないが、従来ATMでのみ扱うカードをキーにするのは判りやすい。セーフティパスのリーダーは電子申請で使用する電子証明書のリーダーとしても使えるため、今後電子申請が普及すれば、これを使ったICカード方式の本人認証も進むものと考えられる。

 OTPをはじめ、生体認証やICカード認証などパスワード漏えいに対して対策した認証が登場している。このなかでも、OTPは比較的低コストかつユーザーに対する負担が少ない方式だといえるだろう。

※4 参考URL:三井住友銀行JNB

※5 偽サイトはユーザーにログイン情報を入力させ、正規のサーバに送信する。ここで認証に成功したらユーザーには「サイトが混雑しています」などといってサービスがサーバ側の問題で利用できないように見せかけ、その間に不正操作を行うという手口が考えられる。ただし、実際にはサイトを見張り、ユーザーがログインしたのを見計らって行動する必要があるので、コストのかかる手口である。



前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ