JP2020009095A - Passwords or the like management device, passwords or the like management system, and passwords or the like management method - Google Patents
Passwords or the like management device, passwords or the like management system, and passwords or the like management method Download PDFInfo
- Publication number
- JP2020009095A JP2020009095A JP2018128995A JP2018128995A JP2020009095A JP 2020009095 A JP2020009095 A JP 2020009095A JP 2018128995 A JP2018128995 A JP 2018128995A JP 2018128995 A JP2018128995 A JP 2018128995A JP 2020009095 A JP2020009095 A JP 2020009095A
- Authority
- JP
- Japan
- Prior art keywords
- passwords
- control unit
- authentication information
- requested
- stored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、パスワード類管理装置、パスワード類管理システムおよびパスワード類管理方法に関する。 The present invention relates to a password management device, a password management system, and a password management method.
従来、コンピュータ等の電子機器を使用する際に、正当な利用者であることを認証する仕組みとして、パスワードやパスフレーズ(以下、パスワード類という。)が広く用いられている。しかし、パスワード類が他人に知られてしまうと、不正アクセスによる個人情報や機密情報等の漏えいのおそれがある。 2. Description of the Related Art Conventionally, when an electronic device such as a computer is used, a password or a passphrase (hereinafter, referred to as passwords) has been widely used as a mechanism for authenticating a valid user. However, if passwords are known to others, there is a risk that personal information, confidential information, and the like may be leaked due to unauthorized access.
そこで、パスワード類のセキュリティを高める手法の一つとして、パスワードに有効期間を設け、一定期間ごとにパスワードを更新させる仕組みが提案されている(例えば、特許文献1参照)。 Therefore, as one of techniques for improving the security of passwords, a mechanism has been proposed in which a valid period is provided for a password and the password is updated at regular intervals (for example, see Patent Document 1).
また、例えば、大規模システムを構成する多数のデバイスのそれぞれにパスワードを登録する必要がある場合、管理のしやすさから同一パスワードを登録することが行われている(例えば、特許文献2参照)。 Further, for example, when it is necessary to register a password for each of a large number of devices constituting a large-scale system, the same password is registered for ease of management (for example, see Patent Document 2). .
同一パスワードを登録することは、セキュリティが疎かになるケースがある。例えば、情報セキュリティ管理者の意に背き、社員・職員同士が結託してパスワード類を同一にした場合、何らかの手段で他人のIDさえ入手できれば、他人になりすましての電子機器の使用が簡単に可能となってしまう。 Registering the same password may reduce security. For example, if employees and employees collude and passwords are the same, contrary to the information security manager's intention, if it is possible to obtain the ID of another person by some means, it is easy to use the electronic device impersonating another person Will be.
本発明は、セキュリティ性を高めることができるパスワード類管理装置、パスワード類管理システムおよびパスワード類管理方法の提供を目的とする。 An object of the present invention is to provide a password management apparatus, a password management system, and a password management method that can enhance security.
上記目的を達成するために、本発明に係る第1の態様は、パスワード類を複数記憶する記憶部と、前記記憶部への情報の記憶を制御する制御部と、を備え、前記制御部は、設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定数記憶されている場合に、当該設定要求されたパスワード類の前記記憶部への記憶を不可にする。 In order to achieve the above object, a first aspect according to the present invention includes a storage unit that stores a plurality of passwords, and a control unit that controls storage of information in the storage unit, wherein the control unit If a predetermined number of passwords identical to the passwords requested to be set are stored in the storage unit, the storage of the passwords requested to be set is disabled in the storage unit.
上記第1の態様によれば、制御部は、設定要求されたパスワード類と同一のパスワード類が記憶部に所定数記憶されている場合に、当該設定要求されたパスワード類の記憶部への記憶を不可にするため、同一のパスワード類が所定数を超えて登録されてしまうことを防止できる。よって、セキュリティ性を高めることができる。 According to the first aspect, when a predetermined number of passwords identical to the passwords requested to be set are stored in the storage unit, the control unit stores the passwords requested to be set in the storage unit. , It is possible to prevent the same passwords from being registered in excess of a predetermined number. Therefore, security can be improved.
本発明に係る第2の態様は、上記第1の態様において、前記制御部は、設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定期間内に所定数記憶されている場合に、当該設定要求されたパスワード類の前記記憶部への記憶を不可にする。 In a second aspect according to the present invention, in the first aspect, the control unit is configured such that, when a predetermined number of passwords identical to the passwords requested to be set are stored in the storage unit within a predetermined period, And disabling storage of the passwords requested to be set in the storage unit.
上記第2の態様によれば、制御部が、設定要求されたパスワード類と同一のパスワード類が記憶部に所定期間内に所定数記憶されている場合に、当該設定要求されたパスワード類の記憶部への記憶を不可にするため、所定期間内に限って、同一のパスワード類が所定数を超えて登録されてしまうことを防止できる。よって、管理期間が長期間にわたることで生じるパスワード類の偶然の一致を制限から除外することができる。 According to the second aspect, when the control unit stores a predetermined number of passwords in the storage unit within the predetermined period, the storage unit stores the passwords requested to be set. Since the storage in the section is disabled, it is possible to prevent the same passwords from being registered in excess of a predetermined number only within a predetermined period. Therefore, accidental matching of passwords caused by a long management period can be excluded from the restriction.
本発明に係る第3の態様は、上記第1または第2の態様において、前記制御部は、一致率が所定の割合以上の場合に同一のパスワード類とみなす。 In a third aspect according to the present invention, in the first or second aspect, the control unit regards the passwords as the same when the matching rate is equal to or higher than a predetermined rate.
上記第3の態様によれば、制御部が、一致率が所定の割合以上の場合に同一のパスワード類とみなすため、少しの文字を変える等することで同一パスワードの数量制限を回避する不正を防ぐことができる。 According to the third aspect, the control unit considers the passwords to be the same when the matching rate is equal to or higher than a predetermined ratio. Can be prevented.
本発明に係る第4の態様は、上記第1から第3のいずれか一態様において、前記所定数を、使用者の属性毎に設定可能である。 According to a fourth aspect of the present invention, in the first aspect, the predetermined number can be set for each user attribute.
上記第4の態様によれば、前記所定数を、使用者の属性毎に設定可能であるため、前記所定数を少ない数に設定することでセキュリティを優先したり、前記所定数を多い数に設定することで、利便性を優先したりすることが可能となる。 According to the fourth aspect, since the predetermined number can be set for each attribute of the user, setting the predetermined number to a small number gives priority to security, or increasing the predetermined number to a large number. By setting, priority can be given to convenience.
本発明に係る第5の態様は、上記第1から第4のいずれか一態様と、パスワード類の設定操作が入力される入力部を備える端末装置と、を有し、前記制御部は、前記入力部への入力に基づいて設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定数記憶されている場合に、当該設定要求されたパスワード類の前記記憶部への記憶を不可にする。 A fifth aspect according to the present invention includes any one of the first to fourth aspects, and a terminal device including an input unit to which a setting operation of a password and the like are input, and the control unit includes: When a predetermined number of passwords identical to the passwords requested to be set based on the input to the input unit are stored in the storage unit, the storage of the passwords requested to be set is disabled in the storage unit. I do.
上記第5の態様によれば、制御部は、端末装置の入力部への入力に基づいて設定要求されたパスワード類と同一のパスワード類が記憶部に所定数記憶されている場合に、当該設定要求されたパスワード類の記憶部への記憶を不可にするため、同一のパスワード類が所定数を超えて登録されてしまうことを防止できる。よって、セキュリティ性を高めることができる。 According to the fifth aspect, when a predetermined number of passwords identical to the passwords requested to be set based on the input to the input unit of the terminal device are stored in the storage unit, the control unit performs the setting. Since the storage of the requested passwords in the storage unit is prohibited, it is possible to prevent the same passwords from being registered in excess of a predetermined number. Therefore, security can be improved.
本発明に係る第6の態様は、設定要求されたパスワード類と同一のパスワード類が記憶部に所定数記憶されているか否かを判定するステップと、前記設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定数記憶されている場合に、当該設定要求されたパスワード類の前記記憶部への記憶を不可にするステップと、を含む。 In a sixth aspect according to the present invention, a step of determining whether a predetermined number of passwords identical to the passwords requested to be set are stored in the storage unit, and the same password as the passwords requested to be set When a predetermined number of passwords are stored in the storage unit, disabling storage of the passwords requested to be set in the storage unit.
上記第6の態様によれば、設定要求されたパスワード類と同一のパスワード類が記憶部に所定数記憶されている場合に、当該設定要求されたパスワード類の記憶部への記憶を不可にするため、同一のパスワード類が所定数を超えて登録されてしまうことを防止できる。よって、セキュリティ性を高めることができる。 According to the sixth aspect, when a predetermined number of passwords identical to the passwords requested to be set are stored in the storage unit, the storage of the passwords requested to be set is disabled in the storage unit. Therefore, it is possible to prevent the same passwords from being registered in excess of a predetermined number. Therefore, security can be improved.
本発明によれば、セキュリティ性を高めることができるパスワード類管理装置、パスワード類管理システムおよびパスワード類管理方法を提供することができる。 According to the present invention, it is possible to provide a password management apparatus, a password management system, and a password management method that can enhance security.
本発明に係る一実施形態を図面を参照して以下に説明する。 An embodiment according to the present invention will be described below with reference to the drawings.
本実施形態の認証サーバ10(パスワード類管理装置)は、認証情報管理システム11(パスワード類管理システム)の所定の管理エリア(同一ドメインや認証情報管理システム11のサイトや所属グループごと等)の認証情報を集中管理するものである。この所定の管理エリアには、一台または複数台の端末装置であるクライアントPC12が設けられており、認証サーバ10とクライアントPC12とは、ネットワーク13を介して接続されている。
The authentication server 10 (password management device) of the present embodiment authenticates a predetermined management area (the same domain, a site of the authentication
クライアントPC12は、操作入力を受け付ける入力部21と、表示を行う表示部22と、クライアントPC12を制御する端末制御部23と、ネットワーク13に接続されネットワーク13を介して認証サーバ10と通信を行う端末通信部24とを有している。
The client PC 12 includes an
認証サーバ10は、ネットワーク13に接続されネットワーク13を介して端末通信部24と通信を行うサーバ通信部31と、サーバ通信部31を介して各クライアントPC12から入力された情報を基に認証情報の設定の可否を判定する等して認証サーバ10を制御するサーバ制御部32(制御部)と、サーバ制御部32が設定可と判定した認証情報等を記憶する記憶部33とを有している。認証情報は、認証サーバ10にネットワーク13を介して接続されたクライアントPC12等の各機器類の使用を許可するために必要な情報であり、記憶部33には、このような認証情報が複数記憶されている。
The
ここで、認証情報は、各クライアントPC12毎に設定されており、使用者の識別情報であるIDと、IDに関連付けられて設定されるパスワードあるいはパスフレーズ等のパスワード類との組み合わせからなっている。なお、IDは、ユーザIDでもよいし、クライアントPC12の入力部21に設けられたカードリーダで読みとられるICカード等のカードIDや、クライアントPC12の入力部21に設けられたUSB接続部で読みとられるUSBトークンでもよく、被認証対象を一意に識別可能であればよい。1台のクライアントPC12を複数人で共用する場合は、複数のユーザアカウントを作成し、複数のIDおよびパスワード類の組み合わせを設定することで、ユーザ毎に異なる権限(一部の機能を制限する等)で使い分けることができる。
Here, the authentication information is set for each client PC 12, and is composed of a combination of an ID that is user identification information and a password such as a password or a passphrase set in association with the ID. . Note that the ID may be a user ID, a card ID such as an IC card read by a card reader provided in the
ここでは、具体例として、認証サーバ10で管理される上記の管理エリアに、特定の個人である使用者Aに専用とされて使用者Aの適正な認証情報が入力された場合に使用可能となるクライアントPC12(A)と、特定の個人である使用者Bに専用とされて使用者Bの適正な認証情報が入力された場合に使用可能となるクライアントPC12(B)と、特定の個人である使用者Cに専用とされて使用者Cの適正な認証情報が入力された場合に使用可能となるクライアントPC12(C)と、複数の特定の使用者D、使用者E、使用者F、使用者G、…に対し共用とされて、これら使用者D、使用者E、使用者F、使用者G、…のいずれか一人の適正な認証情報が入力された場合に使用可能となるクライアントPC12(D)とを有する場合を例にとり説明する。
Here, as a specific example, the above-described management area managed by the
なお、クライアントPC12(A)の各構成には、符号に(A)を付け、クライアントPC12(B)の各構成には、符号に(B)を付け、クライアントPC12(C)の各構成には、符号に(C)を付け、クライアントPC12(D)の各構成には、符号に(D)を付けて区別する。 It should be noted that each component of the client PC 12 (A) is denoted by (A), each component of the client PC 12 (B) is denoted by (B), and each component of the client PC 12 (C) is denoted by (B). , A code (C), and the components of the client PC 12 (D) are distinguished by a code (D).
ここで、上記したように、クライアントPC12(A)は、使用者Aの適正な認証情報が入力された場合に使用可能となり、よって、使用者Aの適正な認証情報は、クライアントPC12(A)の使用権限を有する認証情報となり、他の認証情報は、クライアントPC12(A)の使用権限を有さない認証情報となる。同様に、使用者Bの適正な認証情報は、クライアントPC12(B)の使用権限を有する認証情報となり、使用者Cの適正な認証情報は、クライアントPC12(C)の使用権限を有する認証情報となり、使用者Dの適正な認証情報は、クライアントPC12(D)の使用権限を有する認証情報となる。 Here, as described above, the client PC 12 (A) can be used when the proper authentication information of the user A is input, and thus the proper authentication information of the user A is stored in the client PC 12 (A). , And the other authentication information is authentication information not having the authority to use the client PC 12 (A). Similarly, the proper authentication information of the user B becomes the authentication information having the authority to use the client PC 12 (B), and the appropriate authentication information of the user C becomes the authentication information having the authority to use the client PC 12 (C). The appropriate authentication information of the user D is the authentication information having the authority to use the client PC 12 (D).
認証情報管理システム11において、例えば、クライアントPC12(A)を使用する場合、使用者は、クライアントPC12(A)の表示部22(A)の表示案内に沿って入力部21(A)に入力を行う。すると、端末制御部23(A)は、まず、入力部21(A)への認証情報としてのIDおよびパスワード類の入力を促す表示を表示部22(A)に表示させる。この表示にしたがって入力部21(A)にIDおよびパスワードが入力されると、端末制御部23(A)は、これらのIDおよびパスワードの組み合わせからなる認証情報を、端末制御部23(A)の識別情報とともに、端末通信部24(A)からネットワーク13を介して認証サーバ10のサーバ通信部31に送信する。
In the authentication
端末制御部23(A)から送信されたこの認証情報をサーバ通信部31が受けると、サーバ制御部32は、この認証情報と同一の認証情報が、クライアントPC12(A)の使用権限を有する認証情報として記憶部33に記憶されているか否かを判定する。すなわち、端末制御部23(A)から送信されたIDおよびパスワード類の組み合わせと同一のIDおよびパスワード類の組み合わせが、クライアントPC12(A)の使用権限を有するIDおよびパスワード類の組み合わせとして記憶されているか否かを判定する。
When the
この判定で、端末制御部23(A)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(A)の使用権限を有する認証情報として記憶部33に記憶されていない場合に、サーバ制御部32は、端末制御部23(A)から送信されたこの認証情報が不適正であることを示す情報をサーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する。この情報を端末通信部24(A)が受け付けると、端末制御部23(A)は、IDおよびパスワード類の組み合わせからなる認証情報が不適正である旨の表示を表示部22(A)に表示させて、IDおよびパスワード類の組み合わせからなる認証情報の再入力を待機する。
In this determination, if the same authentication information as the authentication information transmitted from the terminal control unit 23 (A) is not stored in the storage unit 33 as the authentication information having the authority to use the client PC 12 (A), the server The control unit 32 transmits information indicating that the authentication information transmitted from the terminal control unit 23 (A) is inappropriate from the
他方、この判定で、端末制御部23(A)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(A)の使用権限を有する認証情報として記憶部33に記憶されている場合に、サーバ制御部32は、端末制御部23(A)から送信されたこの認証情報が適正であることを示す情報をサーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する。この情報を端末通信部24(A)が受けると、端末制御部23(A)は、クライアントPC12(A)を、ログイン状態とし、ログイン状態で許容される制御メニューの実行が可能な状態とする。
On the other hand, in this determination, when the same authentication information as the authentication information transmitted from the terminal control unit 23 (A) is stored in the storage unit 33 as the authentication information having the authority to use the client PC 12 (A). The server control unit 32 transmits information indicating that the authentication information transmitted from the terminal control unit 23 (A) is appropriate from the
また、例えば、入力部21(B)にIDおよびパスワード類が入力されると、上記と同様に、端末制御部23(B)が、これらIDおよびパスワード類の組み合わせからなる認証情報を認証サーバ10に送信する。すると、認証サーバ10のサーバ制御部32は、端末制御部23(B)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(B)の使用権限を有する認証情報として記憶部33に記憶されているか否かを判定する。
Further, for example, when the ID and the password are input to the input unit 21 (B), the terminal control unit 23 (B) transmits the authentication information including the combination of the ID and the password to the
この判定で、端末制御部23(B)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(B)の使用権限を有する認証情報として記憶部33に記憶されていない場合に、サーバ制御部32は、端末制御部23(B)から送信されたこの認証情報が不適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(B)は、認証情報が不適正である旨の表示を表示部22(B)に表示させる。 In this determination, if the same authentication information as the authentication information transmitted from the terminal control unit 23 (B) is not stored in the storage unit 33 as the authentication information having the authority to use the client PC 12 (B), the server The control unit 32 transmits information indicating that the authentication information transmitted from the terminal control unit 23 (B) is inappropriate, and upon receiving this information, the terminal control unit 23 (B) transmits the authentication information. A display indicating that the information is inappropriate is displayed on the display unit 22 (B).
他方、この判定で、端末制御部23(B)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(B)の使用権限を有する認証情報として記憶部33に記憶されている場合に、サーバ制御部32は、端末制御部23(B)から送信されたこの認証情報が適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(B)は、クライアントPC12(B)を、ログイン状態とし、ログイン状態で許容される制御メニューの実行が可能な状態とする。 On the other hand, in this determination, when the same authentication information as the authentication information transmitted from the terminal control unit 23 (B) is stored in the storage unit 33 as authentication information having authority to use the client PC 12 (B). The server control unit 32 transmits information indicating that the authentication information transmitted from the terminal control unit 23 (B) is appropriate, and upon receiving this information, the terminal control unit 23 (B) The client PC 12 (B) is set in the login state, and the control menu permitted in the login state can be executed.
また、例えば、入力部21(C)にIDおよびパスワード類が入力されると、上記と同様に、端末制御部23(C)が、これらIDおよびパスワード類の組み合わせからなる認証情報を認証サーバ10に送信する。すると、認証サーバ10のサーバ制御部32は、端末制御部23(C)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(C)の使用権限を有する認証情報として記憶部33に記憶されているか否かを判定する。
For example, when an ID and a password are input to the input unit 21 (C), the terminal control unit 23 (C) transmits the authentication information including the combination of the ID and the password to the
この判定で、端末制御部23(C)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(C)の使用権限を有する認証情報として記憶部33に記憶されていない場合に、サーバ制御部32は、端末制御部23(C)から送信されたこの認証情報が不適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(C)は、認証情報が不適正である旨の表示を表示部22(C)に表示させる。 In this determination, if the same authentication information as the authentication information transmitted from the terminal control unit 23 (C) is not stored in the storage unit 33 as the authentication information having the authority to use the client PC 12 (C), the server The control unit 32 transmits information indicating that the authentication information transmitted from the terminal control unit 23 (C) is inappropriate, and upon receiving this information, the terminal control unit 23 (C) transmits the authentication information. An indication that the information is inappropriate is displayed on the display unit 22 (C).
他方、この判定で、端末制御部23(C)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(C)の使用権限を有する認証情報として記憶部33に記憶されている場合に、サーバ制御部32は、端末制御部23(C)から送信されたこの認証情報が適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(C)は、クライアントPC12(C)を、ログイン状態とし、ログイン状態で許容される制御メニューの実行が可能な状態とする。 On the other hand, in this determination, when the same authentication information as the authentication information transmitted from the terminal control unit 23 (C) is stored in the storage unit 33 as authentication information having authority to use the client PC 12 (C). The server control unit 32 transmits information indicating that the authentication information transmitted from the terminal control unit 23 (C) is appropriate, and upon receiving this information, the terminal control unit 23 (C) The client PC 12 (C) is set in the login state, and the control menu permitted in the login state can be executed.
また、例えば、入力部21(D)にIDおよびパスワード類が入力されると、上記と同様に、端末制御部23(D)が、これらIDおよびパスワード類の組み合わせからなる認証情報を認証サーバ10に送信する。すると、認証サーバ10のサーバ制御部32は、端末制御部23(D)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(D)の使用権限を有する認証情報として記憶部33に記憶されているか否かを判定する。
Further, for example, when an ID and a password are input to the input unit 21 (D), the terminal control unit 23 (D) transmits the authentication information including the combination of the ID and the password to the
この判定で、端末制御部23(D)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(D)の使用権限を有する認証情報として記憶部33に記憶されていない場合に、サーバ制御部32は、端末制御部23(D)から送信されたこの認証情報が不適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(D)は、認証情報が不適正である旨の表示を表示部22(D)に表示させる。 In this determination, if the same authentication information as the authentication information transmitted from the terminal control unit 23 (D) is not stored in the storage unit 33 as the authentication information having the authority to use the client PC 12 (D), the server The control unit 32 transmits information indicating that the authentication information transmitted from the terminal control unit 23 (D) is inappropriate, and upon receiving this information, the terminal control unit 23 (D) transmits the authentication information. An indication that the information is inappropriate is displayed on the display unit 22 (D).
他方、この判定で、端末制御部23(D)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(D)の使用権限を有する認証情報として記憶部33に記憶されている場合に、サーバ制御部32は、端末制御部23(D)から送信されたこの認証情報が適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(D)は、クライアントPC12(D)を、ログイン状態とし、ログイン状態で許容される制御メニューの実行が可能な状態とする。 On the other hand, in this determination, when the same authentication information as the authentication information transmitted from the terminal control unit 23 (D) is stored in the storage unit 33 as the authentication information having the authority to use the client PC 12 (D). The server control unit 32 transmits information indicating that the authentication information transmitted from the terminal control unit 23 (D) is appropriate, and upon receiving this information, the terminal control unit 23 (D) The client PC 12 (D) is set in the login state, and the control menu permitted in the login state can be executed.
ここで、クライアントPC12(A)の使用権限を有する認証情報として記憶部33に記憶されている認証情報、クライアントPC12(B)の使用権限を有する認証情報として記憶部33に記憶されている認証情報、クライアントPC12(C)の使用権限を有する認証情報として記憶部33に記憶されている認証情報は、それぞれ一つずつであり、クライアントPC12(A)〜12(C)は、それぞれ、使用権限を有する一つの認証情報と、入力された認証情報とが一致する場合に、ログイン状態となる。 Here, the authentication information stored in the storage unit 33 as the authentication information having the authority to use the client PC 12 (A), and the authentication information stored in the storage unit 33 as the authentication information having the authority to use the client PC 12 (B). The authentication information stored in the storage unit 33 as the authentication information having the authority to use the client PC 12 (C) is one each, and the client PCs 12 (A) to 12 (C) each have the authority to use the client PC 12 (C). When one piece of authentication information and the input authentication information match, a login state is set.
これに対し、クライアントPC12(D)の使用権限を有する認証情報として記憶部33に記憶されている認証情報は、複数あり、クライアントPC12(D)は、これらのいずれの認証情報が、クライアントPC12(D)に入力された認証情報と一致する場合でも、ログイン状態となる。 On the other hand, there are a plurality of pieces of authentication information stored in the storage unit 33 as authentication information having the authority to use the client PC 12 (D), and the client PC 12 (D) determines whether any of these pieces of authentication information is the client PC 12 (D). Even when the authentication information matches the authentication information input in D), the user enters the login state.
以上により、認証情報管理システム11は、認証サーバ10の記憶部33に記憶されているIDおよびパスワード類の認証情報と、クライアントPC12においてユーザにより入力されたIDおよびパスワード類の認証情報とを照合することにより、ユーザの正当性を判断する。認証サーバ10は、ユーザが正当な権限を有する者と認証した場合は、クライアントPC12の使用を許可する。
As described above, the authentication
このような認証情報管理システム11において、個人用のクライアントPC12(A)〜12(C)の使用権限を有する認証情報を設定する場合と、共用のクライアントPC12(D)の使用権限を有する認証情報を設定する場合とについて、図2,図3のフローチャートを参照して説明する。
In such an authentication
クライアントPC12(A)の使用権限を有する認証情報を新規設定する場合、設定者は、クライアントPC12(A)の表示部22(A)の表示案内に沿って入力部21(A)に認証情報の新規設定開始のための入力を行う。すると、端末制御部23(A)は、認証情報の新規設定処理を開始し、設定希望のIDおよび設定希望のパスワード類の入力部21(A)への設定入力を促す表示を表示部22(A)に表示させる。 When newly setting the authentication information having the authority to use the client PC 12 (A), the setter inputs the authentication information to the input unit 21 (A) along the display guide on the display unit 22 (A) of the client PC 12 (A). Perform input to start new setting. Then, the terminal control unit 23 (A) starts the new setting process of the authentication information, and displays a display prompting the user to input the setting desired ID and the desired setting passwords to the input unit 21 (A) on the display unit 22 (A). A) is displayed.
この表示にしたがって入力部21(A)に設定希望のIDと設定希望のパスワード類とが入力されると(図2のステップSa1:YES)、端末制御部23(A)は、これら設定希望のIDと設定希望のパスワード類とを含む設定希望の認証情報を、端末制御部23(A)の識別情報と、IDおよびパスワード類の新規設定を要求する新規設定要求情報とともに、端末通信部24(A)、ネットワーク13を介して認証サーバ10のサーバ通信部31に送信する(図2のステップSa2)。
When a desired setting ID and a desired setting password are input to the input unit 21 (A) according to the display (step Sa1: YES in FIG. 2), the terminal control unit 23 (A) requests the setting. The terminal-communication unit 24 (A) transmits authentication information of the setting request including the ID and the password of the setting request together with the identification information of the terminal control unit 23 (A) and the new setting request information for requesting the new setting of the ID and the password. A), and transmits to the
すると、認証サーバ10のサーバ制御部32においては、端末制御部23(A)から新規設定要求情報と設定希望のパスワード類を含む認証情報とを受信することになって(図3のステップSb1:YES)、端末制御部23(A)から新規設定要求情報とともに送信された設定希望の認証情報が、端末制御部23(A)から設定要求された認証情報となり、この認証情報に含まれる設定希望のIDが、端末制御部23(A)から設定要求されたIDとなり、この認証情報に含まれる設定希望のパスワード類が、端末制御部23(A)から設定要求されたパスワード類となる。
Then, the server control unit 32 of the
そして、サーバ制御部32は、端末制御部23(A)から設定要求された認証情報に含まれる、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている認証情報に含まれるパスワード類の中に、所定の許容限界数(所定数)記憶されているか否かを判定する(図3のステップSb2)。すなわち、サーバ制御部32は、クライアントPC12(A)の入力部21(A)への入力に基づいて設定要求されたパスワード類と同一のパスワード類が記憶部33に所定数記憶されているか否かを判定するステップを行う。ここで、設定要求されたパスワード類との同一が判定される記憶部33に記憶されているパスワード類は、管理エリア内において使用権限が有ることを確認するために記憶部33に記憶されているすべての認証情報のパスワード類である。 Then, the server control unit 32 stores in the storage unit 33 the passwords included in the authentication information requested to be set by the terminal control unit 23 (A) and the same passwords requested by the terminal control unit 23 (A) to be set. It is determined whether or not a predetermined allowable number (predetermined number) is stored in the passwords included in the authentication information stored in (a) (step Sb2 in FIG. 3). That is, the server control unit 32 determines whether a predetermined number of passwords identical to the passwords requested to be set based on the input to the input unit 21 (A) of the client PC 12 (A) are stored in the storage unit 33 or not. Is performed. Here, the passwords stored in the storage unit 33 that are determined to be the same as the passwords requested to be set are stored in the storage unit 33 to confirm that the user has the right to use in the management area. Passwords for all authentication information.
この判定で、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、上記の許容限界数記憶されている場合に(図3のステップSb2:YES)、サーバ制御部32は、端末制御部23(A)から設定要求されたパスワード類が不適正であるため、パスワード類の変更を要求することを示す変更要求情報をサーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する(図3のステップSb3)。この変更要求情報を端末通信部24(A)で受けると(図2のステップSa3:YES)、端末制御部23(A)は、設定希望した認証情報に含まれるパスワード類が不適正である旨の表示を表示部22(A)に表示させてパスワード類の再入力を待機する(図2のステップSa1)。
In this determination, the passwords identical to the passwords requested to be set by the terminal control unit 23 (A) are stored in the passwords in the management area stored in the storage unit 33 in the above-described allowable limit number. (Step Sb2 in FIG. 3: YES), the server control unit 32 requests that the passwords be changed because the passwords requested to be set by the terminal control unit 23 (A) are incorrect. The change request information shown is transmitted from the
他方、この判定で、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、上記の許容限界数記憶されていない場合に(図3のステップSb2:NO)、サーバ制御部32は、端末制御部23(A)から設定要求された認証情報が適正であるとして、この認証情報に含まれる、端末制御部23(A)から設定要求されたIDと端末制御部23(A)から設定要求されたパスワード類との組み合わせを、クライアントPC12(A)の使用権限を有する認証情報として新規設定して記憶部33に記憶させる(図3のステップSb4)。 On the other hand, in this determination, the same passwords as the passwords requested to be set by the terminal control unit 23 (A) are included in the passwords in the management area stored in the storage unit 33 in the allowable limit number. If the authentication information is not stored (step Sb2 in FIG. 3: NO), the server control unit 32 determines that the authentication information requested to be set by the terminal control unit 23 (A) is appropriate, and The combination of the ID requested to be set by the control unit 23 (A) and the passwords requested to be set by the terminal control unit 23 (A) is newly set and stored as authentication information having the authority to use the client PC 12 (A). It is stored in the unit 33 (step Sb4 in FIG. 3).
それとともに、サーバ制御部32は、端末制御部23(A)から設定要求された認証情報の新規設定が完了した旨の新規設定完了通知情報を、サーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する(図3のステップSb5)。この新規設定完了通知情報を端末通信部24(A)で受けると(図2のステップSa4:YES)、端末制御部23(A)は、クライアントPC12(A)の認証情報の新規設定処理を終了する。なお、パスワード類は、所定の強度設定基準(半角英数記号を含む8桁以上等)を満たすことを設定可能条件にする。
At the same time, the server control unit 32 transmits the new setting completion notification information indicating that the new setting of the authentication information requested to be set by the terminal control unit 23 (A) has been completed from the
以上により、サーバ制御部32は、新規設定処理において、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が記憶部33に所定の許容限界数記憶されている場合には、端末制御部23(A)から設定要求されたパスワード類が所定の強度設定基準を満たしていても、当該設定要求されたパスワード類の記憶部33への記憶を不可にするステップを行う。 As described above, in the new setting process, the server control unit 32 determines that if the same passwords as those requested to be set by the terminal control unit 23 (A) are stored in the storage unit 33 in the predetermined allowable limit number, Even if the passwords requested to be set by the terminal control unit 23 (A) satisfy a predetermined strength setting criterion, a step of disabling storage of the passwords requested to be set in the storage unit 33 is performed.
なお、この同一のパスワード類の許容限界数は、複数に設定可能である。このため、複数に設定することで、複数の異なるIDに対して同一のパスワード類を設定することが可能になる。例えば、許容限界数を3つに設定すれば、3つの異なるIDに対して同一のパスワード類を設定して記憶部33に記憶することが可能となる一方、4つの異なるIDに対して同一のパスワード類を設定して記憶部33に記憶することは不可となる。 The allowable limit number of the same passwords can be set to a plurality. For this reason, by setting a plurality of passwords, it becomes possible to set the same passwords for a plurality of different IDs. For example, if the allowable limit number is set to three, the same passwords can be set for three different IDs and stored in the storage unit 33, while the same password is set for four different IDs. It is impossible to set passwords and store them in the storage unit 33.
また、クライアントPC12(A)の使用権限を有する認証情報のパスワード類を更新設定する場合、設定者は、クライアントPC12(A)の表示部22(A)の表示案内に沿って入力部21(A)にパスワード類の更新設定開始のための入力を行う。すると、端末制御部23(A)は、クライアントPC12(A)の使用権限を有する認証情報のパスワード類の更新設定処理を開始し、設定希望のパスワード類の入力部21(A)への設定入力を促す表示を表示部22(A)に表示させる。この表示にしたがって入力部21(A)に設定希望のパスワード類が入力されると(図2のステップSa1:YES)、端末制御部23(A)は、端末制御部23(A)の識別情報と、パスワード類の更新設定を要求する更新設定要求情報とともに、この設定希望のパスワード類を、端末通信部24(A)を介して認証サーバ10のサーバ通信部31に送信する(図2のステップSa2)。
When the passwords of the authentication information having the authority to use the client PC 12 (A) are updated and set, the setter operates the input unit 21 (A) along the display guide of the display unit 22 (A) of the client PC 12 (A). Enter the password to start updating passwords. Then, the terminal control unit 23 (A) starts the update setting processing of the passwords of the authentication information having the authority to use the client PC 12 (A), and inputs the desired passwords into the input unit 21 (A). Is displayed on the display unit 22 (A). When a password desired to be set is input to the input unit 21 (A) according to this display (Step Sa1: YES in FIG. 2), the terminal control unit 23 (A) discriminates the identification information of the terminal control unit 23 (A). And the update setting request information for requesting the update setting of the passwords, and transmits the desired passwords to the
すると、認証サーバ10のサーバ制御部32においては、端末制御部23(A)からこの設定希望のパスワード類を受信することになって(図3のステップSb1:YES)、この設定希望のパスワード類が端末制御部23(A)から設定要求されたパスワード類となる。サーバ制御部32は、端末制御部23(A)から設定要求されたこのパスワード類と同一のパスワード類が、記憶部33に記憶されている上記の管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する(図3のステップSb2)。
Then, the server control unit 32 of the
この判定で、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、上記の許容限界数記憶されている場合に(図3のステップSb2:YES)、サーバ制御部32は、この端末制御部23(A)から設定要求されたパスワード類が不適正であるため、変更要求情報をサーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する(図3のステップSb3)。この変更要求情報を端末通信部24(A)で受けると(図2のステップSa3:YES)、端末制御部23(A)は、設定希望のパスワード類が不適正である旨の表示を表示部22(A)に表示させてパスワード類の再入力を待機する(図2のステップSa1)。
In this determination, the passwords identical to the passwords requested to be set by the terminal control unit 23 (A) are stored in the passwords in the management area stored in the storage unit 33 in the above-described allowable limit number. (Step Sb2 in FIG. 3: YES), the server control unit 32 transmits the change request information to the
他方、この判定で、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、上記の許容限界数記憶されていない場合に(図3のステップSb2:NO)、サーバ制御部32は、この端末制御部23(A)から設定要求されたパスワード類が適正であるとして、このパスワード類を、クライアントPC12(A)の使用権限を有する認証情報のパスワード類として更新設定して記憶部33に記憶させる(図3のステップSb4)。
On the other hand, in this determination, the same passwords as the passwords requested to be set by the terminal control unit 23 (A) are included in the passwords in the management area stored in the storage unit 33 in the allowable limit number. If the password is not stored (step Sb2 in FIG. 3: NO), the server control unit 32 determines that the passwords requested to be set by the terminal control unit 23 (A) are appropriate, and transmits the passwords to the
それとともに、サーバ制御部32は、設定要求されたパスワード類の更新設定が完了した旨の更新設定完了通知情報を、サーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する(図3のステップSb5)。この更新設定完了通知情報を端末通信部24(A)で受けると(図2のステップSa4:YES)、端末制御部23(A)は、クライアントPC12(A)の認証情報のパスワード類の更新設定処理を終了する。
At the same time, the server control unit 32 transmits update setting completion notification information indicating that the update setting of the passwords requested to be set has been completed from the
以上により、サーバ制御部32は、更新設定処理において、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が記憶部33に所定の許容限界数記憶されている場合に、端末制御部23(A)から設定要求されたパスワード類が所定の強度設定基準を満たしていても、当該設定要求されたパスワード類の記憶部33への記憶を不可にするステップを行う。 As described above, in the update setting process, the server control unit 32 determines whether the same passwords as those requested to be set by the terminal control unit 23 (A) are stored in the storage unit 33 in the predetermined allowable limit number. Even if the passwords requested to be set by the terminal control unit 23 (A) satisfy a predetermined strength setting criterion, a step of disabling storage of the passwords requested to be set in the storage unit 33 is performed.
クライアントPC12(B)の使用権限を有する認証情報の新規設定処理の際には、上記と同様に、入力部21(B)に設定希望のIDと設定希望のパスワード類とが入力されると、端末制御部23(B)は、端末制御部23(B)の識別情報および新規設定要求情報とともに、これらの設定希望のIDと設定希望のパスワード類とからなる設定希望の認証情報を、認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(B)から設定要求されたこの認証情報に含まれる、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。 At the time of the new setting process of the authentication information having the authority to use the client PC 12 (B), similarly to the above, when the ID desired to be set and the passwords desired to be set are input to the input unit 21 (B), The terminal control unit 23 (B) transmits the identification information of the terminal control unit 23 (B) and the new setting request information as well as the authentication information of the setting request including the ID of the setting request and the passwords of the setting request to the authentication server. Send to 10. Then, the server control unit 32 stores the same passwords as the passwords requested to be set by the terminal control unit 23 (B) included in the authentication information requested to be set by the terminal control unit 23 (B) in the storage unit. It is determined whether a predetermined allowable limit number is stored in the passwords in the management area stored in 33.
この判定で、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(B)が、設定希望の認証情報に含まれるパスワード類が不適正である旨の表示を表示部22(B)に表示させてパスワード類の再入力を待機する。 In this determination, if the same passwords as the passwords requested to be set by the terminal control unit 23 (B) are stored in the allowable limit number, the server control unit 32 sends the setting request from the terminal control unit 23 (B). Since the set passwords are incorrect, the change request information is transmitted, and the terminal control unit 23 (B) receiving the change request information displays that the passwords included in the authentication information desired to be set are incorrect. Is displayed on the display unit 22 (B), and re-input of passwords is awaited.
他方、この判定で、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類を含む認証情報を、クライアントPC12(B)の使用権限を有する認証情報として新規設定して記憶部33に記憶させることになり、端末制御部23(B)は、認証情報の新規設定処理を終了する。 On the other hand, in this determination, when the allowable limit number of the passwords identical to the passwords requested to be set by the terminal control unit 23 (B) is not stored, the server control unit 32 transmits the password from the terminal control unit 23 (B). The authentication information including the passwords requested to be set is newly set as authentication information having the authority to use the client PC 12 (B) and stored in the storage unit 33. The terminal control unit 23 (B) The new information setting process ends.
また、クライアントPC12(B)の使用権限を有する認証情報のパスワード類の更新設定処理の際には、上記と同様に、入力部21(B)に設定希望のパスワード類が入力されると、端末制御部23(B)は、端末制御部23(B)の識別情報および更新設定要求情報とともに、この設定希望のパスワード類を認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
In the update setting process of the passwords of the authentication information having the authority to use the client PC 12 (B), when the passwords desired to be set are input to the input unit 21 (B) in the same manner as described above, the terminal The control unit 23 (B) transmits the passwords desired to be set to the
この判定で、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(B)が、設定希望のパスワード類が不適正である旨の表示を表示部22(B)に表示させてパスワード類の再入力を待機する。 In this determination, if the same passwords as the passwords requested to be set by the terminal control unit 23 (B) are stored in the allowable limit number, the server control unit 32 sends the setting request from the terminal control unit 23 (B). Since the set passwords are incorrect, the change request information is transmitted, and upon receiving the change request information, the terminal control unit 23 (B) displays a display indicating that the passwords desired to be set are incorrect on the display unit 22 (B). B) and wait for re-input of passwords.
他方、この判定で、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類を、クライアントPC12(B)の使用権限を有する認証情報のパスワード類として更新設定して記憶部33に記憶させることになり、端末制御部23(B)は、パスワード類の更新設定処理を終了する。 On the other hand, in this determination, when the allowable limit number of the passwords identical to the passwords requested to be set by the terminal control unit 23 (B) is not stored, the server control unit 32 transmits the password from the terminal control unit 23 (B). The passwords requested to be set are updated and set as passwords of authentication information having the authority to use the client PC 12 (B), and are stored in the storage unit 33. The terminal control unit 23 (B) sets the passwords Ends the update setting process.
クライアントPC12(C)の使用権限を有する認証情報の新規設定処理の際には、上記と同様に、入力部21(C)に設定希望のIDと設定希望のパスワード類とが入力されると、端末制御部23(C)は、端末制御部23(C)の識別情報および新規設定要求情報とともに、これらの設定希望のIDと設定希望のパスワード類とからなる設定希望の認証情報を、認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(C)から設定要求されたこの認証情報に含まれる、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。 At the time of the new setting process of the authentication information having the authority to use the client PC 12 (C), similarly to the above, when the ID desired to be set and the passwords desired to be set are input to the input unit 21 (C), The terminal control unit 23 (C) sends the identification information of the terminal control unit 23 (C) and the new setting request information together with the setting desired authentication information including the desired setting ID and the desired setting password to the authentication server. Send to 10. Then, the server control unit 32 stores, in the storage unit, passwords included in the authentication information requested to be set by the terminal control unit 23 (C) and identical to the passwords requested to be set by the terminal control unit 23 (C). It is determined whether a predetermined allowable limit number is stored in the passwords in the management area stored in 33.
この判定で、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(C)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(C)が、設定希望の認証情報に含まれるパスワード類が不適正である旨の表示を表示部22(C)に表示させてパスワード類の再入力を待機する。 In this determination, when the same passwords as the passwords requested to be set by the terminal control unit 23 (C) are stored in the allowable limit number, the server control unit 32 sends the setting request from the terminal control unit 23 (C). Since the set passwords are incorrect, the change request information is transmitted, and upon receiving the change request information, the terminal control unit 23 (C) displays that the passwords included in the authentication information desired to be set are incorrect. Is displayed on the display unit 22 (C), and re-input of passwords is awaited.
他方、この判定で、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(C)から設定要求されたパスワード類を含む認証情報を、クライアントPC12(C)の使用権限を有する認証情報として新規設定して記憶部33に記憶させることになり、端末制御部23(C)は、認証情報の新規設定処理を終了する。 On the other hand, in this determination, if the allowable limit number of passwords identical to the passwords requested to be set by the terminal control unit 23 (C) is not stored, the server control unit 32 transmits the password from the terminal control unit 23 (C). The authentication information including the passwords requested to be set is newly set as authentication information having the authority to use the client PC 12 (C) and stored in the storage unit 33. The terminal control unit 23 (C) Ends the new setting process.
また、クライアントPC12(C)の使用権限を有する認証情報のパスワード類の更新設定処理の際には、上記と同様に、入力部21(C)に設定希望のパスワード類が入力されると、端末制御部23(C)は、端末制御部23(C)の識別情報および更新設定要求情報とともに、この設定希望のパスワード類を認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(C)から設定要求されたこのパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
In the update setting process of the passwords of the authentication information having the authority to use the client PC 12 (C), when the passwords desired to be set are input to the input unit 21 (C) in the same manner as described above, the terminal The control unit 23 (C) transmits the passwords desired to be set to the
この判定で、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(C)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(C)が、設定希望のパスワード類が不適正である旨の表示を表示部22(C)に表示させてパスワード類の再入力を待機する。 In this determination, when the same passwords as the passwords requested to be set by the terminal control unit 23 (C) are stored in the allowable limit number, the server control unit 32 sends the setting request from the terminal control unit 23 (C). Since the set passwords are incorrect, the change request information is transmitted, and the terminal control unit 23 (C) receiving the change request information displays a message to the effect that the passwords desired to be set are incorrect on the display unit 22 (C). C) and wait for re-input of passwords.
他方、この判定で、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(C)から設定要求されたパスワード類を、クライアントPC12(C)の使用権限を有する認証情報のパスワード類として更新設定して記憶部33に記憶させることになり、端末制御部23(C)は、パスワード類の更新設定処理を終了する。 On the other hand, in this determination, if the allowable limit number of passwords identical to the passwords requested to be set by the terminal control unit 23 (C) is not stored, the server control unit 32 transmits the password from the terminal control unit 23 (C). The passwords requested to be set are updated and set as passwords of authentication information having authority to use the client PC 12 (C), and are stored in the storage unit 33. The terminal control unit 23 (C) sets the passwords The update setting process ends.
クライアントPC12(D)の使用権限を有する認証情報の新規設定処理の際には、上記と同様に、入力部21(D)に設定希望のIDと設定希望のパスワード類とが入力されると、端末制御部23(D)は、端末制御部23(D)の識別情報および新規設定要求情報とともに、これらの設定希望のIDと設定希望のパスワード類とからなる設定希望の認証情報を、認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(D)から設定要求されたこの認証情報に含まれる、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。 At the time of the new setting process of the authentication information having the authority to use the client PC 12 (D), similarly to the above, when the ID desired to be set and the passwords desired to be set are input to the input unit 21 (D), The terminal control unit 23 (D) sends the identification information of the terminal control unit 23 (D) and the new setting request information together with the authentication information of the setting request including the ID of the setting request and the passwords of the setting request to the authentication server. Send to 10. Then, the server control unit 32 stores the same passwords as the passwords requested to be set by the terminal control unit 23 (D) included in the authentication information requested to be set by the terminal control unit 23 (D) in the storage unit. It is determined whether a predetermined allowable limit number is stored in the passwords in the management area stored in 33.
この判定で、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(D)が、設定希望の認証情報に含まれるパスワード類が不適正である旨の表示を表示部22(D)に表示させてパスワード類の再入力を待機する。 In this determination, if the same passwords as the passwords requested to be set by the terminal control unit 23 (D) are stored in the allowable limit number, the server control unit 32 sends the setting request from the terminal control unit 23 (D). Since the set passwords are incorrect, the terminal control unit 23 (D) transmits the change request information, and upon receiving the change request information, displays a message indicating that the passwords included in the authentication information desired to be set are incorrect. Is displayed on the display unit 22 (D), and re-input of passwords is awaited.
他方、この判定で、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類を含む認証情報を、クライアントPC12(D)の使用権限を有する認証情報として新規設定して記憶部33に記憶させることになり、端末制御部23(D)は、認証情報の新規設定処理を終了する。 On the other hand, in this determination, when the allowable limit number of passwords identical to the passwords requested to be set by the terminal control unit 23 (D) is not stored, the server control unit 32 transmits the password from the terminal control unit 23 (D). The authentication information including the passwords requested to be set is newly set as authentication information having authority to use the client PC 12 (D), and is stored in the storage unit 33. The terminal control unit 23 (D) performs authentication. The new information setting process ends.
また、クライアントPC12(D)の使用権限を有する認証情報のパスワード類の更新設定処理の際には、上記と同様に、入力部21(D)に設定希望のパスワード類が入力されると、端末制御部23(D)は、端末制御部23(D)の識別情報および更新設定要求情報とともに、この設定希望のパスワード類を認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
In the update setting process of the passwords of the authentication information having the authority to use the client PC 12 (D), when the passwords desired to be set are input to the input unit 21 (D) in the same manner as described above, the terminal The control unit 23 (D) transmits the passwords desired to be set to the
この判定で、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類が不適正であるため変更要求情報を送信し、これを受けた端末制御部23(D)が、設定希望のパスワード類が不適正である旨の表示を表示部22(D)に表示させてパスワード類の再入力を待機する。 In this determination, if the same passwords as the passwords requested to be set by the terminal control unit 23 (D) are stored in the allowable limit number, the server control unit 32 sends the setting request from the terminal control unit 23 (D). Since the set passwords are incorrect, the change request information is transmitted, and upon receiving the change request information, the terminal control unit 23 (D) displays a message indicating that the passwords desired to be set are incorrect on the display unit 22 (D). ) And wait for re-entry of passwords.
他方、この判定で、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類を、クライアントPC12(D)の使用権限を有する認証情報のパスワード類として更新設定して記憶部33に記憶させることになり、端末制御部23(D)は、パスワード類の更新設定処理を終了する。 On the other hand, in this determination, when the allowable limit number of passwords identical to the passwords requested to be set by the terminal control unit 23 (D) is not stored, the server control unit 32 transmits the password from the terminal control unit 23 (D). The passwords requested to be set are updated and set as passwords of authentication information having authority to use the client PC 12 (D), and are stored in the storage unit 33. The terminal control unit 23 (D) sets the passwords Ends the update setting process.
クライアントPC12(A)の使用権限を有する認証情報として新規設定あるいは更新設定されて記憶部33に記憶される認証情報、クライアントPC12(B)の使用権限を有する認証情報として新規設定あるいは更新設定されて記憶部33に記憶される認証情報、クライアントPC12(C)の使用権限を有する認証情報として新規設定あるいは更新設定されて記憶部33に記憶される認証情報は、それぞれ一つずつである。 Authentication information that is newly set or updated as authentication information having the authority to use the client PC 12 (A) and stored in the storage unit 33, and is newly set or updated as authentication information having the authority to use the client PC 12 (B). The authentication information stored in the storage unit 33 and the authentication information newly set or updated as the authentication information having the authority to use the client PC 12 (C) and stored in the storage unit 33 are one each.
これに対し、クライアントPC12(D)の使用権限を有する認証情報として新規設定あるいは更新設定されて記憶部33に記憶される認証情報は、複数の設定が可能となっている。 On the other hand, a plurality of settings are possible for the authentication information which is newly set or updated as the authentication information having the authority to use the client PC 12 (D) and stored in the storage unit 33.
以上に述べた実施形態によれば、サーバ制御部32は、パスワード類の設定要求があったときに、設定要求されたパスワード類と同一のパスワード類が記憶部33に所定の許容限界数記憶されていなければ、当該設定要求されたパスワード類が所定の強度設定基準を満たしていることを条件に、当該設定要求されたパスワード類を記憶部33へ記憶する。他方で、サーバ制御部32は、パスワード類の設定要求があったときに、設定要求されたパスワード類と同一のパスワード類が記憶部33に所定の許容限界数記憶されている場合に、当該設定要求されたパスワード類が所定の強度設定基準を満たしていても、当該設定要求されたパスワード類の記憶部33への記憶を不可にする。このため、同一のパスワード類を含む認証情報が所定の許容限界数を超えて登録されてしまうことを防止できる。これにより、セキュリティが疎かになることを抑制できる。すなわち、例えば、異なる社員・職員同士がパスワード類を同一にしようとしても、所定の許容限界数を超える社員・職員がパスワード類を同一にすることを防止できる。よって、他人になりすましてのクライアントPC12等の電子機器の使用を含む管理エリア内での不正なログインを抑制することができる。例えば、ユーザ毎に異なる権限を付与して共用の端末装置を使い分けている場合には、制限されている機能の実行やファイルへのアクセスを防止することができる。したがって、パスワード類の有効性を高めることができ、セキュリティ性を高めることができる。
According to the above-described embodiment, when a password setting request is issued, the server control unit 32 stores the same passwords as the requested passwords in the storage unit 33 in the predetermined allowable limit number. If not, the passwords requested to be set are stored in the storage unit 33 on condition that the passwords requested to be set satisfy a predetermined strength setting criterion. On the other hand, when a request for setting passwords is made and the same passwords as the passwords requested to be set are stored in the storage unit 33 in a predetermined allowable limit number, the server control unit 32 performs the setting. Even if the requested passwords satisfy the predetermined strength setting criterion, the storage of the requested passwords in the storage unit 33 is disabled. For this reason, it is possible to prevent authentication information including the same passwords from being registered beyond a predetermined allowable limit number. As a result, security can be prevented from being sparse. That is, for example, even if different employees / employees try to use the same password, it is possible to prevent employees / employees exceeding a predetermined allowable number from using the same password. Therefore, it is possible to suppress improper login in the management area including the use of the electronic device such as the
例えば、使用許可者本人がログイン後に席を外して異なるIDでパスワードロックされたクライアントPC12に対しても、同一パスワード類を知る他人が、使用許可者本人になりすましてログインできてしまうケースを減らすことができる。また、クライアントPC12に対する使用許可者本人のICカードを他人が入手したとしても、同一パスワード類を知るこの他人が、使用許可者本人になりすましてログインできてしまうケースを減らすことができる。認証情報管理システム11における認証サーバ10の管理エリア内でのこれらのような不正利用を防止することができる。
For example, it is possible to reduce the number of cases in which another person who knows the same passwords can log in by impersonating the authorized user even for the
また、所定の許容限界数として、2つ、3つ等の複数を設定可能であるため、複数の管理者等、限られた小グループでのパスワード類の共用は可能となる。よって、使い勝手性の低下を抑制することができる。 Further, since a plurality of predetermined allowable limit numbers such as two, three, and the like can be set, passwords can be shared by a limited small group such as a plurality of managers. Therefore, a decrease in usability can be suppressed.
なお、以上の実施形態を、以下の変形例1,2のように変更することも可能である。 The above embodiment can be modified as in the following modified examples 1 and 2.
[変形例1]
認証サーバ10の管理エリアにおいて、一定期間内(1時間〜1カ月など期間を管理者が任意に指定)に、所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、当該パスワード等の設定を禁止する。一定期間を超えている場合は、ユーザが示し合わせたのではなく偶然に同じパスワードを設定したものとみなし、当該パスワードの設定を許可する。すなわち、サーバ制御部32は、設定要求されたパスワード類と同一のパスワード類が記憶部33に、設定要求があった時点を基準として遡る所定期間内に所定の許容限界数記憶されている場合に、当該設定要求されたパスワード類の記憶部33への記憶を不可にする。他方、サーバ制御部32は、設定要求されたパスワード類と同一のパスワード類が記憶部33に、設定要求があった時点を基準とする所定期間内に所定の許容限界数記憶されていなければ、当該設定要求されたパスワード類を記憶部33へ記憶する。このように、所定期間内に限って、同一のパスワード類が所定数を超えて登録されてしまうことを防止できるため、管理期間が長期間にわたることで生じるパスワード類の偶然の一致を制限から除外することができる。
[Modification 1]
In the management area of the
[変形例2]
パスワード類の一致率を算出し、一致率が一定割合以上の場合は同一パスワード類とみなす。例えば、「password01」と「password02」と等、10文字中の9文字が同じの場合、同一パスワード類とみなす。これにより、例えば、最後の一文字を変える等することで同一パスワード類の数量制限を回避する不正を防ぐことができる。すなわち、サーバ制御部32は、一致率が、100%未満に設定される所定の割合以上の場合に同一のパスワード類とみなす一方、一致率がこの所定の割合未満の場合に異なるパスワード類とみなすため、少しの文字を変える等することで同一パスワードの数量制限を回避する不正を防ぐことができる。この変形例2は、変形例1に対しても適用可能である。
[Modification 2]
The match rate of the passwords is calculated, and if the match rate is equal to or more than a certain rate, it is regarded as the same password. For example, if 9 of 10 characters are the same, such as “password01” and “password02”, the passwords are regarded as the same password. Thus, for example, it is possible to prevent a fraud that avoids the limitation of the number of the same passwords by changing the last one character. That is, the server control unit 32 regards the same passwords when the matching rate is equal to or higher than a predetermined ratio set to be less than 100%, and regards them as different passwords when the matching ratio is less than the predetermined ratio. Therefore, it is possible to prevent a fraud that avoids the limitation of the quantity of the same password by changing a little character or the like. The second modification is also applicable to the first modification.
[変形例3]
また、認証サーバ10の管理エリアにおいて、所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、当該パスワードの有効期間を通常より短く設定しパスワード類を早めに変更させるようにする。通常より短期間にパスワードを変更させることでセキュリティを高めることができる。この変形例3は、変形例2に対しても適用可能である。
[Modification 3]
Further, when the same password exceeding a predetermined allowable number is newly set or updated in the management area of the
[変形例4]
ユーザの属性(ランク等)に応じて、所定の許容限界数を設定するようにしてもよい。例えば、管理者のように強い権限を持つ場合は、所定の許容限界数を1に設定することでセキュリティを優先し、一般ユーザやゲストユーザの場合は、所定の許容限界数を比較的緩やかに設定することで、利便性を優先することが可能となる。すなわち、所定の許容限界数を使用者の属性毎に設定可能であるため、所定の許容限界数を少ない数に設定することでセキュリティを優先したり、所定の許容限界数を多い数に設定することで、利便性を優先したりすることが可能となる。
[Modification 4]
A predetermined permissible limit number may be set according to the user attribute (such as rank). For example, when the user has a strong authority like an administrator, security is prioritized by setting a predetermined allowable limit number to 1, and for a general user or a guest user, the predetermined allowable limit number is set relatively gently. By setting, priority can be given to convenience. That is, since the predetermined allowable limit number can be set for each attribute of the user, the priority is given to security by setting the predetermined allowable limit number to a small number, or the predetermined allowable limit number is set to a large number. This makes it possible to prioritize convenience.
10 認証サーバ(パスワード類管理装置)
11 認証情報管理システム(パスワード類管理システム)
12 クライアントPC(端末装置)
13 ネットワーク
21 入力部
32 サーバ制御部(制御部)
33 記憶部
10 Authentication server (password management device)
11 Authentication information management system (password management system)
12 Client PC (terminal device)
13
33 storage unit
Claims (6)
前記記憶部への情報の記憶を制御する制御部と、
を備え、
前記制御部は、設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定数記憶されている場合に、当該設定要求されたパスワード類の前記記憶部への記憶を不可にするパスワード類管理装置。 A storage unit for storing a plurality of passwords,
A control unit that controls storage of information in the storage unit;
With
When a predetermined number of passwords identical to the passwords requested to be set are stored in the storage unit, the control unit disables storing the passwords requested to be set in the storage unit. Management device.
パスワード類の設定操作が入力される入力部を備える端末装置と、を有し、
前記制御部は、前記入力部への入力に基づいて設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定数記憶されている場合に、当該設定要求されたパスワード類の前記記憶部への記憶を不可にするパスワード類管理システム。 A password management device according to any one of claims 1 to 4,
A terminal device having an input unit into which a setting operation of passwords is input,
The control unit, when a predetermined number of passwords identical to the passwords requested to be set based on the input to the input unit are stored in the storage unit, the storage unit of the passwords requested to be set Password management system that disables the storage of passwords.
前記設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定数記憶されている場合に、当該設定要求されたパスワード類の前記記憶部への記憶を不可にするステップと、
を含むパスワード類管理方法。 Determining whether a predetermined number of passwords identical to the passwords requested to be set are stored in the storage unit;
When a predetermined number of passwords identical to the passwords requested to be set are stored in the storage unit, disabling storage of the passwords requested to be set in the storage unit;
Password management method including password.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018128995A JP7072852B2 (en) | 2018-07-06 | 2018-07-06 | Password management device and password management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018128995A JP7072852B2 (en) | 2018-07-06 | 2018-07-06 | Password management device and password management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020009095A true JP2020009095A (en) | 2020-01-16 |
JP7072852B2 JP7072852B2 (en) | 2022-05-23 |
Family
ID=69151704
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018128995A Active JP7072852B2 (en) | 2018-07-06 | 2018-07-06 | Password management device and password management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7072852B2 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004280189A (en) * | 2003-03-12 | 2004-10-07 | Hitachi Information Systems Ltd | Password management system, password management server and password management program |
JP2006133837A (en) * | 2004-11-02 | 2006-05-25 | Mitsubishi Electric Information Systems Corp | Password management device and program |
JP2008225926A (en) * | 2007-03-13 | 2008-09-25 | Rakuten Inc | Advertisement system using copying machine |
JP2011516952A (en) * | 2008-04-04 | 2011-05-26 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Method for operating a server, server itself, computer program product for operating the server, and expiration password processing in the computer program (expired password processing) |
-
2018
- 2018-07-06 JP JP2018128995A patent/JP7072852B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004280189A (en) * | 2003-03-12 | 2004-10-07 | Hitachi Information Systems Ltd | Password management system, password management server and password management program |
JP2006133837A (en) * | 2004-11-02 | 2006-05-25 | Mitsubishi Electric Information Systems Corp | Password management device and program |
JP2008225926A (en) * | 2007-03-13 | 2008-09-25 | Rakuten Inc | Advertisement system using copying machine |
JP2011516952A (en) * | 2008-04-04 | 2011-05-26 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Method for operating a server, server itself, computer program product for operating the server, and expiration password processing in the computer program (expired password processing) |
Also Published As
Publication number | Publication date |
---|---|
JP7072852B2 (en) | 2022-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9571494B2 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
US11128625B2 (en) | Identity management connecting principal identities to alias identities having authorization scopes | |
US10110578B1 (en) | Source-inclusive credential verification | |
US10003975B2 (en) | Authorized areas of authentication | |
US20150135275A1 (en) | Authorization server system, control method therefor, and storage medium | |
CN103827811A (en) | Managing basic input/output system (BIOS) access | |
WO2012040869A1 (en) | User account recovery | |
KR20120019021A (en) | Image forming apparatus for executing user authentication and method for executing user authentication of image forming apparatus | |
US10318725B2 (en) | Systems and methods to enable automatic password management in a proximity based authentication | |
JP2022144003A (en) | Information processing deice and information processing program | |
JP2022113037A (en) | Image forming apparatus having multi-element authentication function | |
US10277579B2 (en) | Information processing system that provides a resource to an application of a terminal through a network | |
JP7180221B2 (en) | Information processing device, information processing system and program | |
JP5177505B2 (en) | Intra-group service authorization method using single sign-on, intra-group service providing system using the method, and each server constituting the intra-group service providing system | |
JP2018022501A (en) | Server system and method for controlling multiple service systems | |
JP7200785B2 (en) | Information processing device, information processing system, and program | |
JP2018022941A (en) | Management system, management server and management program | |
JP2020009095A (en) | Passwords or the like management device, passwords or the like management system, and passwords or the like management method | |
US10846414B2 (en) | Information processing system, information processing method, and non-transitory computer readable medium | |
US20230216686A1 (en) | User authentication system, user authentication server, and user authentication method | |
JP2022114837A (en) | Image forming device having multi-factor authentication function | |
KR101862766B1 (en) | Image forming apparatus for executing user authentication and method for executing user authentication of image forming apparatus | |
JP5328828B2 (en) | Password management device, password management method, and password management system | |
JP7238526B2 (en) | Information processing device, information processing system, and information processing program | |
KR20190019317A (en) | Server and method for authentication in on-demand SaaS aggregation service platform |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201014 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210804 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210810 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211005 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211116 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220113 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220419 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220428 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7072852 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |