右往左往のワンタイムパスワード?金融関連業界のセキュリティ対策
ワンタイムパスワード
ワンタイムパスワードはセキュリティを重要視する企業では外部からの社内ネットアクセス時の本人認証手段に以前から利用されてきた。
金融機関でもオプションサービスとしているところがあったが、最近は標準サービスに移行しているところもある。
いずれもトークカードを配布してサーバーの暗号生成装置との突合せで本人を確認するもの。
ところが、カードの電池切れや、同期外れによりトラブルも多い。絶対止められないサーバーと、言うのも負担が大きい。
その運用ノウハウが上手く蓄積できない企業はトークンを諦めている。諦めるくらいならもっと調べるかその関係のキーマンを雇用するのが普通だろうに。
電子メールを使ったソフトタイプのワンタイムパスワードを利用するところも多い。認証プロセスの中で、パスワードが登録されたメールアドレスに送られるものだ。他人がメールを見る可能性を考えて、デバイスを限定するものもある。携帯電話のメールアドレス利用に限定するもの、推奨にとどめるもの、など企業の考え方に違いが出ている。
ソフトの場合は成りすましリスクが高いこと、スマホの普及でデバイス限定メールが難しいこと、携帯の機種変更時の対応にもトラブルが付きまとうこと、スマホを使った決済など複数デバイス利用が出来にくくなったことなど欠点も目立ってきた。
スマホを落したり盗まれたりしたらそれでお終いに近い状況が生まれるのは問題だ。
ということで、今度はソフト型のワンタイムパスワードからトークカード利用に戻す企業も出てきた。セキュリティポリシーが明確な企業の場合は、右往左往にならざるを得ない。
企業によってはワンタイムパスワードそのものを諦めてしまったところもある。第二暗証記号を別に設定して認証に使うものなど。これは古い手法で煩わしいが一定の成果をあげてきたものの、最近の自動ログインソフトへの対応上、第二暗証カードの内容を一括入力させるフィッシング詐欺が横行し始めて欠点が目立ってきた。
ネット経由の本人認証は2デバイスがミニマム。
多分、ソフトドライブ型のトークンカードが出てくるだろう。パスワード発声機能は持たないでデコード表示させる機能しかないトークンカードだ。メインデバイス(パソコン、スマホ)からWiFiまたはBT経由で暗号化されたパスワードを貰いそれをデコードして表示させる。もしパッシブ回路で組めるならバッテリーの心配も同期はずれの心配も無い。
既に出来ていても可笑しくない。
.*.
この頃は、ゲームサイト、ネットショッピングサイトなどでもトークンを利用することがあるようだ。トークンのIDをサーバーに登録し、初期値設定すれば、自動的に同期される。
.*.
