10キー付きのワンタイムパスワード生成トークン
10キー付きのワンタイムパスワード生成トークンは、電卓のように0から9までの数字を入力するボタンと、その他の機能ボタンがある高機能なワンタイムパスワード生成トークンである。このトークンの最大の特徴は本体に暗証番号を設定できることである。暗証番号はトークン所有者本人が設定できるので、置き忘れた場合にも第三者による不正利用が困難になる。つまり、この種のトークンは本体だけで二要素認証(持っている物=トークン本体、知っていること=設定した暗証番号)を行えるのである。
各ボタンには異なる機能を割り当てることができる。例えば、ボタン1にはログイン用ワンタイムパスワード、ボタン2には取引用ワンタイムパスワード、ボタン3にはトランザクション署名など、別のワンタイムパスワード生成機能を割り当てられる。また、これらのワンタイムパスワードを生成するシード(鍵)を分けることにより、用途別のワンタイムパスワードは独立した認証の仕組みとなる。
10キー付きワンタイムパスワード生成トークンの例(Ezio Pico)
10キー付きのワンタイムパスワードを利用すると上記で解説した2つのワンタイムパスワードを利用した攻撃も回避できる。各ボタンが前述のように設定されているという条件で、先ほどと同じ手口の攻撃を本トークンではどのように回避するかを解説する。
- 攻撃者は、ユーザーがログインした際にそのワンタイムパスワードを利用してユーザーの口座にログインする
- ユーザーに対してはログインが失敗したというメッセージを出し、もう1回ワンタイムパスワードの入力を求める
- ユーザーは入力ミスしたのであろうと思い、2個目のログイン用ワンタイムパスワードを入力する
- 攻撃者が入手した2個目のワンタイムパスワードはログイン用であり、送金用には利用できないので不正送金は行えない
利用する用途別にワンタイムパスワードの機能を分け、個別のシードにより完全に分離したセキュリティの仕組みを確立しているので、高い安全性を確保することができる。