チャレンジレスポンス認証
- サーバが送信したチャレンジデータに対し、
アクセスを行うクライアントが取り決めた規則に基づいてレスポンスデータを生成し、それをサーバが確認する方法。双方で保存してあるパスワードはそのまま使わないため安全性が高い。
出典
- チャレンジ&レスポンス方式とは、パスワードの認証に用いられる方式のひとつで、サーバーから送られてくる暗号鍵(チャレンジ)を受け取り、それに演算処理を組み合わせたデータ(レスポンス)を返すことによって暗証を行う方式のことである。
主にワンタイムパスワードの手法として用いられる。
チャレンジ&レスポンス方式においては、はじめにサーバーがクライアントに対して「チャレンジ」と呼ばれる値を送る。チャレンジを受け取ったクライアントは、チャレンジの値にそれぞれ保有しているパスワードを掛け合わせて演算処理を行い、その結果として生成されたハッシュ値を「レスポンス」として返す。サーバーは、クライアントから返ってきた値をサーバーが自ら生成したレスポンスと照合し、ふたつのレスポンスの値が一致していれば認証を通す。
チャレンジとして送られてくる値は毎回ランダムな値で変更される。そのため、生成されるレスポンスの値も毎回異なる。そのため、チャレンジ&レスポンス方式にはチャレンジやレスポンスが盗聴されたとしても認証上の致命的な問題が生じないという利点がある。
出典
欠点
メールで受信するワンタイムパスワードが狙われる
その日、そのタイミングでしか使うことのできないワンタイムパスワードは、メールやSMSで通知する仕組みが主流でした。しかし、パソコンやスマートフォンをウイルスに感染させることで、メールやSMSが受信する情報まで盗み取る被害が発生しています。
2013年にインターネットバンキングの不正送金による被害額が増加したのは、ウェブメールに送信されたワンタイムパスワードが漏洩していることが原因だと考えられています。
ユーザーとオンラインサービスとの通信の間に入り込み情報を盗み取るこの手法は、中間者攻撃とも呼ばれ、独立行政法人情報処理推進機構ではその危険性を指摘しています。
出典