業務用システムへのログイン方法にはパスワード認証が広く使われている。しかしながら、従来のパスワード認証はセキュリティ上の弱点にもなりやすい。情報漏えいや盗聴など不正な方法で取得されたものであっても、システムはそのパスワードでログインしたアカウントを正当な利用者と見なして権限を付与してしまうからである。
そのため、パスワードについてはほとんどの企業が、第三者が推測できない複雑なものにする、複数のシステムで使い回しをしない、定期的に変更する、などの運用ルールを定めている。しかし、ルールを定めても全ての利用者に徹底させるのは難しい。
そこで強固なセキュリティを要求されるシステムでは、従来の“固定式”の代わりに、1回限りの“使い捨て”である「ワンタイムパスワード(OTP)」を使うケースが増えている。OTPはログインのたびにランダムに変更されるため第三者による推測が不可能で、情報漏えいや盗聴があっても不正ログインを阻止できる。
OTPを導入する方法として、(1)ハードウェアトークンを使う、(2)ソフトウェアトークンを使う、(3)トークンを使わない(トークンレス)――の3つがある。ここでは、主要なOTP製品を紹介する。
1.RSA SecurID:OTPの“業界標準”
残り本文:約2260文字 ログインして続きを読んでください。