強度の高い使い捨てパスワード


システムの安全性を確保する要件の1つは、パスワードを正しく使うことだと言われている。

侵入者は、システムに不正アクセスするために、次のような方法で正規ユーザーのパスワードを推測している。

1:汎用パスワードデータベースの中のパスワードを試していく。

2:システム内部のパスワードファイルを盗み出し、暗号化されているパスワードを復号する。

侵入者にパスワードを盗まれないよう防御する方法は、強度の高い使い捨てパスワードを利用することだと言われている。

強度の高いパスワードとは、数多くの文字、数字、記号をランダムに組み合わせたパスワードをいう。

使い捨てパスワードとは、1度使用した後は無効になるパスワードをいう。

銀行のWeb認証システムでは、使い捨てパスワードを表示するための専用の機器(トークン)をユーザーに配布して、安全性を高めている。トークンは、30~90秒ごとに現在時刻、日付、IDを使ってパスワードを生成する。トークンとサーバーで時刻にずれが生じると認証エラーになるため、その際には時刻のずれを補正しなければならない。

ユーザーのコンピューターがウィルスに感染している場合、ユーザーが使い捨てパスワードで認証した直後に、ウィルスによって不正送金されてしまう可能性もある。

欧米各国の金融機関を標的にした事件では、2カ月間に2000億円の被害が発生したと言われている。

 


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です