三井住友銀行に続き、ジャパンネット銀行でもワンタイム・パスワードが採用されるという(IT Pro 1/26)。ワンタイム・パスワードの生成に使われるのは、同じくRSAセキュリティの「SecurID」である。
利用者全員に配布され、月額手数料も値上げ(一定の利用基準に達していれば無料)される。各行趣向を凝らすセキュリティ対策だが、セキュリティの強度という点では頭一つ抜き出ているようだ。パスワード保護の本命になりつつある気配である。
それを裏付けるかのように、RSAセキュリティとNTTデータが携帯電話向けのワンタイム・パスワード製品を共同開発するという報道もあった(IT Pro 1/26)。既にあるソフトウェア・トークン「RSA SecurID for Mobile Phones」に比べ、利用開始時に20桁ほどの数字(シード)を入力する手間が省けるらしい。
ワンタイム・パスワードの強みは、パスワードの盗聴や漏洩に強い点である。それは、「有効期間が短く」「使い捨て」であることによる。クライアントとサーバーでパスワードの同期を取る必要があり、コストは高い仕組みといわれている。その分利用者にも金銭的負担が強いられる。
しかし、だ。ワンタイム・パスワードにも弱点はある。パスワードを生成してからの有効期間は約1分と短いが、パスワードを生成するところから盗まれてしまったとしたら…。そう、パスワード発生装置(トークン)の盗難である。そのため、本人しか知らないPINコードと合わせて使用するようになっているが、これも盗まれてしまうとどうしようもない。リスクは0にはならないが、「限りなく0に近づける」ためには利用者の努力も欠かせないということだ。
この分野では、RSAセキュリティ社の「SecurID」がデファクト・スタンダードになっている。RSA社によると、欧米では20年以上の実績があるということで、セキュリティの仕組みとしては意外と年季の入ったものだ。インターネットの歴史、OSの歴史と比べると、セキュリティの歴史ははるかに長い。
