1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. 国内初!取引認証にワンタイム・パスワードを導入

国内初!取引認証にワンタイム・パスワードを導入

金融機関におけるキャッシュカードの不正利用が深刻化している問題で、ジャパンネット銀行は、同行の口座利用者全員を対象に、ネットバンキングの取引認証に「ワンタイム・パスワード」を採用することを発表しました。

ジャパンネット銀行がワンタイム・パスワードを採用、利用者全員が対象(IT Pro)

記事によると、ネットバンキングの取引認証をワンタイム・パスワードに統一するのは国内初の試みということです。この認証方式は本年9月より開始され、同行では、約130万人の口座利用者全員に対して、5月頃よりパスワード生成用の「トークン」と呼ばれる端末を順次配布します。

ワンタイム・パスワード認証とは、一度しか使えない「使い捨てパスワード」を使って行う認証のこと。一度使ったら二度と同じパスワードを使うことができないため、他人が本人に「なりすます」ことができず、安全性が高いと言われています。

その認証方法の手順は、大きく分けて、

●トークンと呼ばれるパスワード生成端末がランダムな文字列(「チャレンジ」と呼ばれる)を表示させる

●ユーザーは、自分だけが知る固定の文字列を端末側に入力する

●端末でチャレンジ文字列とユーザーが入力した文字列を一定の手順に従って演算し、生成された結果(「レスポンス」と呼ばれ、これがパスワードとなる)をサーバー側に送信する

という流れで、ユーザーのログインごとにトークンとサーバーを同期させるため、毎回、端末側から送信されるレスポンスが異なっても、正しく認証ができるという仕組みです。

毎回変わるチャレンジに応じてレスポンスも変わるので、万が一、通信経路上でサーバーと端末のやり取りを盗み聞きされても、同じパスワードは一回きりしか使えないため、他人が本人になりすましてログインすることはできません。

なお、ワンタイム・パスワードの生成には、RSAセキュリティのハードウエア・トークン「SecurID」を採用します。記事によれば、口座利用者全員にSecurIDを配布するのは世界初ということです。

顧客の財産を守るための金融機関の新たな取り組みとして、今後も動向に注目していきたいと思います。

<参考>
プレスリリース

関連キーワード:

キャッシュカード

ネットバンキング

ワンタイム

取引認証