SMS認証の仕組みと危険性、「TOTP」とは? 「所有物認証」のハナシ:今さら聞けない「認証」のハナシ(3/3 ページ)
「ソフトウェアトークン」と「ハードウェアトークン」
都市銀行のインターネットバンキングでよく利用されているワンタイムパスワードが「ソフトウェアトークン」と「ハードウェアトークン」です。いずれもスマホアプリや機器上に、一定の時間経過(大抵は30秒ごと)で変化していく、その時しか使えないワンタイムパスワード(数列)が表示され、それを入力することで認証する仕組みです。
ワンタイムパスワードを表示する媒体がスマホアプリだと「ソフトウェアトークン」、専用のカード型・キーホルダー型・電卓型の機器だと「ハードウェアトークン」と呼びます。
経路外認証とは異なり、各トークンは通信をせずにワンタイムパスワードを表示しています。認証するサーバ側と、表示するトークン側のそれぞれにおいて、連携時に設定される「シード」(利用者の登録情報やシリアルナンバーなどを元にした値)や「シークレット」と呼ばれる値と、その値が作られた時刻からの経過時間をかけ合わせて計算し、ワンタイムパスワードを生成しています。それぞれの計算結果が一致していればログインできるというわけです。
時間によってワンタイムパスワードが計算される仕組みから「Time-based One-Time Password」省略してTOTPと呼ばれています。
TOTPのトークンを既に利用されている方で、ワンタイムパスワードを入力しても認証できない場合は、スマホやハードウェアトークンの時刻がズレている可能性があります。ソフトウェアトークンの場合はスマホの「設定」で、現在時刻を調整してみてください。
ハードウェアトークンの場合は、サービスのページに時刻補正用のページが用意されているはずです。そこでトークンに表示されている数値を1〜2回入力すると補正されます。トークン側の時刻を直すことはできないので、トークン側が現在、どの数値になっているかをサーバ側に知らせることで、サーバ側の数値を補正する仕組みです。
電池切れの場合はどうしようもありません。電池切れの前にサービス側から交換の案内が来ることがほとんどだと思いますが、もし切れてしまったら新たなトークンを用意してもらいましょう。
サービス提供者側はどうでしょうか。このTOTPを利用したソフトウェアトークンで近年、よく使われてきているのが、Googleが提供する「Google Authenticator(Google認証システム)」です。マイクロソフトもソフトウェアトークン「Microsoft Authenticator」を、他にも各社がソフトウェアトークンやハードウェアトークンを提供しています。
これらは「OATH規格」(initiative for Open AuTHentication)というTOTPの共通規格を採用しており、サービス側でもOATH規格に対応すれば、各社のOATH規格対応トークンによる認証が導入できます。
OATH規格の登場でTOTPをサービスに導入しやすくなりました。OATH規格が登場する前から提供されている主な製品として「RSA SecureID」や「DIGIPASS」がありますが、銀行ではこれらが多く使われているようです。
TOTPは最初はハードウェアトークン型が登場し、主にビジネス用に活用されてきました。その後の携帯電話の普及とスマホの登場や、ソフトウェア化とそれに伴う配布の簡便化により、ソフトウェアトークンが一般向けにも使われるようになったという歴史があります。
ソフトウェアトークンよりも古い方式のハードウェアトークンは、ハードウェアの調達が必要で、紛失・破損・故障の対応が必要な点など、導入・管理コスト面で不利ではあります。しかし、スマホを持っていなくても使える、スマホの状態に左右されない、利用者にインストール・設定方法を教える手間がなく「ボタンを押して出てきた数字を入力するだけ」なので分かりやすい、といった点では優れているといえます。
同じ通信を行わないワンタイムパスワードの方式で、時間ではなく、サーバと連携してからの「認証回数」をシードと掛け合わせてワンタイムパスワードを生成する「HOTP」(HMAC-based One-Time Password)という方式もあります。しかし、サーバ側とトークン側の回数のズレによる不具合が発生しやすいため、現在ではTOTPのほうが主流になっています。
ここまで、経路外認証やソフトウェア&ハードウェアトークンを用いるワンタイムパスワードを紹介しました。一般のインターネットサービスで使われているものは、これで大体カバーできていると思います。
今回紹介した以外にも、ビジネス利用が中心の方式や、過去にはよく使われていた方式など紹介しきれていないものもあります。次回は、それらの方式を紹介しようと思います。
関連記事
PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ
専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回はパスワード以外の「知識認証」について。
PayPayも導入した「3Dセキュア」って何? クレジットカード本人認証のハナシ
認証まわりの話題について分かりやすく解説する連載。今回はクレジットカードの本人認証サービス「3Dセキュア」などについて解説します。
ガンダム、パトレイバー、コードギアス――リアルロボットの“認証技術”を考察する
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第8回のテーマはサンライズ作品のリアルロボットの認証について。
強力なパスワードを作る法則とは? 意外と知らない「パスワード」のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは知識認証の代表格である「パスワード」のハナシ。
「認証の回数が多いほど安全」は間違い? 二要素認証のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは「二要素認証」。
本当に安全? 「二段階認証」のハナシ
私たちにとって身近になってきた「認証」の話。今更聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。
「鉄人28号」が抱える脆弱性とは? ロボット悪用を防ぐ”認証”を考える
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第7回のテーマは「鉄人28号」の認証について。
映画「ミッション:インポッシブル」5作品の“セキュリティ突破方法”を考察してみた
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第6回のテーマは映画「ミッション:インポッシブル」に登場する認証技術。
「新世紀エヴァンゲリオン」の使徒がネルフ本部に仕掛けた“ハッキングの手口”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第5回のテーマは「パスワードハッキング」。
「新世紀エヴァンゲリオン」で初号機はシンジをどう“認証”しているのか
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第4回のテーマは「血筋認証」。
「メタルギアソリッド」と「東のエデン」で注目したい“生体認証”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第3回のテーマは「生体認証」。
「ゼルダの伝説 ブレス オブ ザ ワイルド」で学ぶ”所有物認証”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第2回のテーマは「所有物認証」。
「のばら」には脆弱性がある? 「ファイナルファンタジー」で学ぶ知識認証
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第1回のテーマは「合言葉」。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。