パスワード認証とは

ワンタイムパスワードとは、認証を行う際に、1度きりしか使えない「使い捨てパスワード」のことです。
外出先などからリモートで、社内システムなど内部のリソースへアクセスする際に、アクセスしてくるユーザが正規ユーザであるか否かを検証する認証技術の一つです。
WisePointシリーズのWisePointおよびWisePoint Authenticatorが共通で持っている認証機能では、ワンタイムパスワードの技術を使っています。 また、WisePoint OTPGeneratorでも、携帯電話にワンタイムパスワードを表示する機能を持たせています。

通常、ワンタイムパスワードは、サーバから端末に対して認証文字列のシードとなる「チャレンジ」と呼ばれるランダムな文字列を送信します。そのチャンレジに対して、ユーザは自分しか知らない秘密のパスワードを端末に入力します。すると、パスワードは一定の手順で演算され、その結果(レスポンス)がサーバに送信されます。そのレスポンスをサーバ側で検証し、正規のユーザかどうかをチェックします。正規ユーザであると認可されれば、ユーザは該当システムへアクセスが可能になります。
このチャレンジ&レスポンスは、毎回異なる文字列になるように設定されており、ワンタイムパスワードを実現しています。万が一通信経路上でサーバと端末間のやり取りを盗聴されても、同じパスワードは二度と使えないためセキュリティを確保することができます。

1

WisePointのワンタイムパスワード

WisePointシリーズの「WisePoint」および「WisePoint Authenticator」が共通で持っている認証機能(マトリクスコード認証、イメージングマトリクス認証)でこのワンタイムパスワード技術を用いています。

マトリクスコード認証の場合、サーバからチャレンジコードとして、ユーザが持ち歩くカードに記載された乱数表の行と列を指定し、乱数表に記載された該当の数値を認証画面上に入力するよう、ユーザに促します。ユーザは指定された欄の数値を入力します。入力された数値は、暗号化された文字列(レスポンス)として、サーバに返信されます。
イメージングマトリクス認証の技術も同じですが、ユーザがIDを入力すると、画面には画像の一覧表が表示され、ユーザはあらかじめ自分で選んでおいた画像をクリックします。この画像がパスワードとなり、演算され暗号化された文字列としてサーバに返信されます。

WisePointでは、このワンタイムパスワード技術を用いた本人認証機能を独自に開発しております。ワンタイムパスワードの仕組みによってセキュリティを高めるだけでなく、乱数表や画像を使った本人認証機能をご提供することにより、ユーザの利便性も考慮した本人認証を実現しています。