私が仕事で使用するものに「カード型トークン」というものがあります。
インターネットバンキング上で振り込みを認証する際に使用するもので、ボタンを押すだけでランダムな数字が出てきて、その数字を画面上に入力するだけで手続きが完了するもので普段は何気なく使用していたのですが、
ふと冷静に考えてみるとおかしい…
(カード型トークンはインターネットにつながっていないはずなのにどうしてサーバーに認証されるのか…?)
そんな疑問が仕事中にわいてきましたので調べてみました。
私なりにまとめてみましたのでご覧ください。
1.そもそもワンタイムパスワードとは
そもそもワンタイムパスワードとは名前の通りで「一度限りのパスワード」という意味です。
言い換えると利用するたびに発行されるパスワードがワンタイムパスワードなのです。
ワンタイムパスワードによる認証では、この使い捨てパスワードを自動生成するツールとしてトークンが必要になります。
このトークンは、「カード型トークン」や「USB型トークン」、スマートフォンアプリ等で提供される
「ソフトウェア型トークン」など様々なタイプがあります。
2.カード型トークンの認証方式は?
カード型トークンの認証方式はタイムスタンプ認証方式(時刻同期方式)というものを使用しているようです。
この認証方式は、あらかじめトークンとサーバーに日付を基準にした計算式を設定されています。
そして発行が求められた時刻で、カード型トークンと認証サーバーは、それぞれ時刻情報を取り込んだ計算式で、ユーザーごとかつ1回限りの乱数を作成し、該当数列をワンタイムパスワードとして決定します。
要するにトークンとサーバーで時刻を使用した同じ計算式を使用しているから、求められたタイミングでサーバーとトークンのパスワードが一致する仕組みとなっているようです。
調べてみるとカード型トークンを分解した記事もありました。是非調べてみてください ^^
最後まで読んでいただきありがとうございました。
コメント