- OTPとは"One Time Pass word"の略称。
- 一般的には、2要素認証として、2要素目に使用される。
- 2要素の1要素目は”ID/Pass Word”。
- 目的は”ID/Pass Word”が漏洩した場合の危険性の排除。またリスト攻撃・フルアタック防御のために用いられる。
- 一般的には、”ID/Pass word”は当然ながら固定でり、認証の際にのみ使用される動的に変化する2要素目があれば安全性を高めることが出来るというアイデアである。
- 最近では、個人/企業のネットバンキングの成りすまし防止に使用されている例が多く見られる。
- 一般的には、ハードウエアが必要で、”トークン””スマートフォン”などが良く使われる。桁数はおおむね6桁である。
- 以下は個人的見解であるが
- 1.ユーザーに手間をかけさせる。
- 2.トークン等のハードウエアを持ち運ぶ必要がある
- 3.企業用のネットバンキングに使用されるOTPはさらに複雑で、年に1回の証明書更新(サーバーの証明書更新)が要求され、さらに複雑である。
- 最大の目的は、ID/Passwordが何らかの原因で漏洩し、そのID/Passwordを悪意の第3者が使用しても、Log_in出来ない仕組みを構築すること。
- トークンレスのOTPの実現
- 2要素目をユーザが入力する必要がなく、煩わしさを解消
- 2要素目の鍵の長さ=8192bitと最長
最近は健康ブームで、ウエアラブルセンサーからデータをサーバーに送信して、自分の日々の体調を管理する人が増えていますね、そのデータはプライバシーそのもでのでありながら、一般の認証技術を使い、かつ平文のまま保存されています。皆さんの生体データは第3者あるいはサービス提供者に見られているかもしれません。なんとかcloudに保存されていた写真データが何者かにより、盗まれ、漏洩したたという記事をよく目にします。プライバシーを守るために、認証技術に新たなソリューションを提供します。
