JP2007310819A - パスワード解析への耐性を高めたパスワード生成方法及びこのパスワードを用いた認証装置 - Google Patents
パスワード解析への耐性を高めたパスワード生成方法及びこのパスワードを用いた認証装置 Download PDFInfo
- Publication number
- JP2007310819A JP2007310819A JP2006141825A JP2006141825A JP2007310819A JP 2007310819 A JP2007310819 A JP 2007310819A JP 2006141825 A JP2006141825 A JP 2006141825A JP 2006141825 A JP2006141825 A JP 2006141825A JP 2007310819 A JP2007310819 A JP 2007310819A
- Authority
- JP
- Japan
- Prior art keywords
- password
- code string
- new
- input
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】パスワードのエラー入力回数が所定の数に達する毎に、予め設定した新パスワード生成規則に基づいて、予め登録しておいた符号列の内から任意の符号列を、現在のパスワードの所定の位置に追加して、新パスワードを生成する。
【解決手段】 第kパスワード(kは、1以上m未満の正の整数)の入力要求に対して、許容エラー入力回数が所定の回数に達した場合に、新パスワード生成規則に則って、第kパスワードの所定の位置に、予め登録しておいた追加符号列の内から任意の符号列を追加し、第kパスワードより符号長の長い第k+1のパスワードを生成し、これを新しいパスワードとして使用することを、k=mとなるまで繰り返す。そして、第mパスワードの入力要求に対して、エラー入力が所定の回数に達した場合、不正アクセスを目的としたアクセス要求であると判断して、これ以上のパスワードの入力を拒否する。
【選択図】 図3
【解決手段】 第kパスワード(kは、1以上m未満の正の整数)の入力要求に対して、許容エラー入力回数が所定の回数に達した場合に、新パスワード生成規則に則って、第kパスワードの所定の位置に、予め登録しておいた追加符号列の内から任意の符号列を追加し、第kパスワードより符号長の長い第k+1のパスワードを生成し、これを新しいパスワードとして使用することを、k=mとなるまで繰り返す。そして、第mパスワードの入力要求に対して、エラー入力が所定の回数に達した場合、不正アクセスを目的としたアクセス要求であると判断して、これ以上のパスワードの入力を拒否する。
【選択図】 図3
Description
本発明は、コンピューター、データベース等へのアクセスの際に用いられる認証用パスワードの生成方法と、このパスワードを用いた認証装置に関する。
コンピューター、データベース等へアクセスする際には、アクセスを希望する者に対して、正規のアクセス権を持っているか否かを確認するために、個人識別コード(以下:IDコード)とIDコードに対応するパスワードを入力するのが一般的である。このようなパスワードには、数字、アルファベット等の文字及び“#”,“/”等の記号から構成される文字/記号列が一般的に用いられている。
そして、コンピューター、データベース等のパスワードによる認証装置は、正規ユーザーによって登録されたパスワードを格納するパスワード記憶装置と、このパスワード記憶装置に格納されたパスワードと、実際に入力されたパスワードとを比較し、入力されたパスワードの正誤を判定するパスワード正誤判定手段と、を備えている。そして、予め登録されたパスワードと入力されたパスワードとが一致した場合に正規ユーザーと認定し、コンピューター、データベース等へのアクセスを許可する。登録されたパスワードと入力されたパスワードとが一致しない場合には、アクセスを拒否すると共に、データの入力エラーを考慮して、アクセス希望者にパスワードの再入力を要求するのが一般的である。
システムへの不正アクセスを目的に、パスワードを入手する代表的な方法には、様々な方法が存在する。その1つとして、パスワードとして可能な組み合わせを、全て“虱つぶし”的に試行するやり方(以下、「総当り法」と称する。)が存在する。この総当り法は、パスワードに使用されている数字、文字、記号の種類が判明すれば、パスワードとして可能な組み合わせを“虱つぶし”に試行することで、パスワードを割り出す方法であり、この方法によるパスワードの割り出しを回避することは、原理的にできなかった。
この為、上記総当り法によるパスワード解析に対しては、以下の方法が取られている場合がある。
1)一回のアクセス要求で認めるパスワード入力の試行回数を制限する。
2)パスワードの入力エラーを繰返すアクセス要求に対しては、そのIDの所有者に対して、次回のアクセス要求を一定時間認めない。
3)パスワードのエラー入力を繰返すアクセス要求に対しては、パスワードの入力許可の間隔を順次広げていく。
1)一回のアクセス要求で認めるパスワード入力の試行回数を制限する。
2)パスワードの入力エラーを繰返すアクセス要求に対しては、そのIDの所有者に対して、次回のアクセス要求を一定時間認めない。
3)パスワードのエラー入力を繰返すアクセス要求に対しては、パスワードの入力許可の間隔を順次広げていく。
このように、パスワード入力の試行回数を制限すると共に、パスワード入力の試行に必要な時間を増大させることにより、パスワードを解析する機会を減少させる方法が実行され、一定の効果を得ていることは確かである。
しかしながら、上記の対策は、総当り法に対するパスワード自体の解析に対する耐性(強度)を改善するものではないため、暗証を前提とした符号長の短いパスワードの場合、総当り法によるパスワード解析を何度にも分けてアクセスを繰り返した上で実行された場合、パスワードを解読されてしまう可能性が残っていた。
そこで、上記の対策に加えて、下記特許文献1のように(図4参照)、パスワード正誤判定装置10と、パスワードエラー入力カウンター20と、パスワード切替装置30と、例えば第1から第4までの複数のパスワードの格納装置40〜43と、を備え、一定回数のパスワードのエラー入力が続いた場合、総当り法によるパスワード解析の可能性を考慮して、「パスワードを予め登録していた符号長の長いパスワードに自動的に変更する。」等の対策が提案されている。
ところで、上記の「パスワードを予め登録していた符号長の長いパスワードに自動的に変更する。」ことによる対策は、入力したパスワードが偶然正しいパスワードとなる確率(偶発ヒット確率)について、表3に示すように、表4の「符号長を変えずに単に異なるパスワードに変更した場合」より、低く抑えることができる。この点についての詳細は後述する。
しかしながら、依然として、パスワードの強度を改善するためには、パスワードの符号長を長くすることが効果的であるが、パスワードの暗記を前提とした場合、符号長の長いパスワードを複数暗証することは難しく、ユーザーにとって負担となるという問題がある。また、複数のパスワードの間で、パスワードの取り違えを起こし易いという問題もある。
本発明は、上記問題点を改善したパスワードの生成方法と、このパスワードを用いた認証装置を提供することを目的としている。
本発明は、パスワードのエラー入力回数が所定の数に達する毎に、予め設定した新パスワード生成規則に基づいて、予め登録しておいた符号列の内から任意の符号列を、現在のパスワードの所定の位置に追加して、新パスワードを生成することを特徴とする。
本発明の一観点によれば、符号列で構成された第1の認証コード(第1パスワード)を格納する第1パスワード記憶装置と、第2の認証コード(追加符号列)を格納する追加符号列記憶装置と、
第k(kは1以上の自然数)パスワードの入力要求に対して、パスワードのエラー入力が所定の回数発生する毎に、現在の第kパスワードの所定の位置に、前記追加符号列から符号列を追加して、第kパスワードより符号長の長い第k+1パスワードを生成し、これを新たなパスワードとする新パスワード生成装置と、
前記新パスワード生成用の新パスワード生成規則を格納したパスワード生成規則記憶装置と、を備え、
認証の為のパスワード入力要求を、第1パスワードから開始して、エラー入力回数が所定の数に達する毎に、第2、第3…と認証に用いるパスワードを順次符号長の長い新パスワードに変更していくように構成されている認証装置が提供される。
第k(kは1以上の自然数)パスワードの入力要求に対して、パスワードのエラー入力が所定の回数発生する毎に、現在の第kパスワードの所定の位置に、前記追加符号列から符号列を追加して、第kパスワードより符号長の長い第k+1パスワードを生成し、これを新たなパスワードとする新パスワード生成装置と、
前記新パスワード生成用の新パスワード生成規則を格納したパスワード生成規則記憶装置と、を備え、
認証の為のパスワード入力要求を、第1パスワードから開始して、エラー入力回数が所定の数に達する毎に、第2、第3…と認証に用いるパスワードを順次符号長の長い新パスワードに変更していくように構成されている認証装置が提供される。
すなわち、パスワード入力インターフェイスと、該パスワード入力インターフェイスから入力されたパスワードと現在のパスワードとの正誤を判定するパスワード正誤判定装置と、該パスワード正誤判定装置により判定されたパスワードのエラー入力回数をカウントするパスワードエラー入力カウンターと、符号列で構成された第1の認証コードである第1パスワードを格納する第1パスワード記憶装置と、第2の認証コードである追加符号列を格納する追加符号列記憶装置と、前記パスワードエラー入力カウンターにより測定された、第k(kは1以上m未満の自然数)パスワードの入力要求に対するパスワードのエラー入力が所定の回数に達する毎に、現在の第kパスワードの所定の位置に、前記追加符号列を所定の規則に従って追加して前記第kパスワードよりも符号長の長い新たな第k+1パスワードを生成する新パスワード生成装置と、該新パスワード生成装置により生成された新パスワードに現在のパスワードを切替えるパスワード切換装置と、を備えたことを特徴とする認証装置が提供される。
尚、符号長自体を長くすることに加え、前記追加符号列に使用可能な符号の種類を、第1パスワードに使用可能な符号よりその種類を多くすることで、パスワード解析に必要な試行回数を増大させることができる。更に、旧パスワードの「どの部分」に「どれだけの符号列」を追加する等の新パスワード生成の生成規則を様々に設定することで、生成される新パスワードを容易に類推できないように構成されている。
本発明によれば、パスワードのエラー入力が発生する毎に、認証に際して要求するパスワードを、第1パスワードから開始して、エラー入力回数が所定の数に達する毎に、第2、第3…と認証に用いるパスワードを順次符号長の長い新パスワードに変更していく結果、エラー入力回数が増加する毎に、パスワードの符号長が長くなる為、“総当り法”によるパスワード解析に必要な試行回数を、幾何級数的に増大させることができる。
また、第1パスワードとして使用可能な符号の種類より、追加符号列として使用可能な符号の種類を多くすることで、更に“総当り法”によるパスワード解析に必要な試行回数を増大させることができる。
さらに、“総当り法”は、パスワード全体を解析対象とする為、符号長が長くなった新パスワードから、パスワードの核となっている第1パスワード部分だけを選択して解析することができないという利点がある。
さらに、「如何なる新パスワードが生成されるか。」を第3者が類推することは、追加符号列の内容と、新パスワードの生成規則(旧パスワードの何処に、どのような規則で、どれだけの追加符号列を追加するか)の2つを知らない限り難しい。この為、新パスワードの生成規則を秘匿できれば、追加符号列の内容を秘匿する必要性が低下するという利点がある。
本明細書において、「所定の規則に従って」とは、パスワードに対して、ある規則に沿って順番に符号列等が追加されていくことを意味する。この規則自体は予め決められているものであれば、どのような規則であるかは限定されない。その意味では、「所定の規則に従って」とは、「ある規則に基づいて」と換言することも可能である。尚、その規則自体を変更することができるようにしても良いし、ある時期になったらその規則が変更されるようになっていても良い。
以下に、本発明の一実施の形態による認証技術について図面を参照しながら説明を行う。図1は、本実施の形態による認証装置の一構成例を示す機能ブロック図である。図1に示すように、本実施の形態による認証装置は、パスワード入力用インタフェースと接続され、パスワードと、パスワード入力要求に応じてパスワード入力用インタフェースから入力されたデータと、を比較し、入力されたパスワードの正誤を判定するパスワード正誤判定装置10と、パスワード正誤判定装置10から出力される正誤判定結果を入力し、パスワードのエラー入力回数をカウントするエラーカウンター20と、パスワード切替指示を出力することにより認証用パスワードを切替えるパスワード切替え装置30と、符号列で構成された第1の認証コード(第1パスワード)を格納する第1パスワード記憶装置40と、第2の認証コード(追加符号列)を格納する追加符号列記憶装置50と、第k(kは1以上の自然数)パスワードの入力要求に対して、パスワードのエラー入力が所定の回数発生する毎に、現在の第kパスワードの所定の位置に、前記追加符号列から符号列を追加して、第kパスワードより符号長の長い第k+1パスワードを生成し、これを新たなパスワードとする新パスワード生成装置60と、を備えている。
新パスワード生成装置60は、「第kパスワードのいずれの位置に、上記追加符号列のいずれの追加符号列から、どれだけの符号列を追加し、第k+1パスワードを生成するか。」と言う、新規パスワードの生成規則を格納した新パスワード生成規則格納装置61と、この新パスワード生成規則に従って、現在のパスワードに追加符号列を追加する追加符号列組込み装置62と、を備えている。図4と比較すると、図1に示す装置では、追加符号列記憶装置と新パスワード生成装置とを備えており、一方、パスワード記憶装置は第1パスワード記憶装置のみを備える。
パスワードエラー入力カウンター20からのカウント出力は、パスワード切換え装置30と、パスワード生成規則格納装置61とに出力される。
追加符号列組込み装置62からの追加符号列も、パスワード切換え装置30に出力される。一方、第1パスワード記憶装置40からの第1パスワードは、パスワード切換え装置30と、追加符号列組込み装置62と、に出力され、追加符号列記憶装置50からの出力は、加符号列組込み装置62に出力される。
追加符号列組込み装置62からの追加符号列も、パスワード切換え装置30に出力される。一方、第1パスワード記憶装置40からの第1パスワードは、パスワード切換え装置30と、追加符号列組込み装置62と、に出力され、追加符号列記憶装置50からの出力は、加符号列組込み装置62に出力される。
以下、m=4の場合の上記図1に示す認証装置のパスワードの変化の過程の例について図2を参照しながら説明を行う。
図2に示すように、第1パスワード“1234”の入力要求に対するエラー入力許容回数が所定の数に達した場合、符号列追加位置として示した第1パスワード“1234”の後段の“◎◎”の部分に、追加符号列“56”を追加して、第2新たなパスワード“123456”を生成して、これを第2パスワードとする。
同様に、第2パスワード“123456”の入力要求に対するエラー入力許容回数が所定の数に達した場合、符号列追加位置として示した第2パスワード“123456”の前段の“◎◎”の部分に、追加符号列“78”を追加して、第2新たなパスワード“78123456”を生成して、これを第3パスワードとする。
更に、第3パスワード“78123456”の入力要求に対するエラー入力許容回数が所定の数に達した場合、符号列追加位置として示した第3パスワード“78123456”の中段の“◎”の部分に、追加符号列“9”を追加して、新たなパスワード“781293456”を生成して、これを第4パスワードとする。
表1に、m=4で、第1パスワードに対する許容試行入力回数を2回、第2パスワードに対する許容試行入力回数を4回、第3パスワードに対する許容試行入力回数を6回、第4パスワードに対する許容試行入力回数を8回とし、全体の許容試行入力回数を20回とした場合の、各パスワードに対する偶発ヒット確率と許容試行入力回数20回でのパスワードの偶発ヒット確率を示す。先に示した表3と比較して偶発ヒット確率が上昇しないことが分かる。
尚、表1では、追加符号列を0から9までの数字に限定した場合について示したが、追加符号列について、0から9までの数字に加えてアルファベット(26文字)も使用可能とした場合について、各パスワードに対する偶発ヒット確率と許容試行入力回数20回でのパスワードの偶発ヒット確率を表2に示す。
また、表3に示した従来の方法では、利用者は、第1から第4パスワードの4種類、計27文字を、変更したパスワードの符号長が変化しない表4に示した方法でも、第1から第4パスワードの4種類×4文字の計16文字を暗記する必要がある。これに対して、本実施の形態によれば、パスワード生成規則が漏洩していない場合は、必ずしも追加符号列を暗記する必要が無い。このため、表1及び表2の場合、利用者が暗記する必要のある符号数は、最小で第1パスワードの4文字のみとなり、表3に示した従来の方法の1/6以下、表4の方法の1/4で済むことが分かる。
図3は、本実施の形態による発明認証システムのパスワードによる認証と、新パスワード生成の処理の流れをフローチャート図である。
まず、最初の入力要求パスワードが第1パスワードとなるように、初期値を設定する(ステップS10)。次いで、エラー入力回数の初期値を設定する(ステップS20)。次いで、認証の為のパスワードの入力を要求する(ステップS30)。ステップS40において、入力されたパスワードの正誤を判定する。入力されたパスワードが誤っていた場合は(No)ステップ50へ、入力されたパスワードが正しい場合は(Yes)ステップS110へと進み、システムへのアクセスを承認し、認証処理を終了する。
入力されたパスワードが誤っていた場合、第kパスワードに対するエラー入力回数k1を1回インクリメントする(ステップS50)。第kパスワードに対するエラー入力回数k1と、第kパスワードに対する許容試行入力回数k0を比較し、パスワードを変更するか否かを判断する。そして、パスワードを変更する必要が無い場合(No:k<k0の場合)はステップS30へ、パスワードを変更する必要がある場合(Yes:k=k0の場合)は、ステップS70へと進む(ステップS60)。
パスワードが変更可能であるかを判断し、変更が可能な場合(NO:k<mの場合)はステップS80へ、変更が認められない(Yes:k=mの場合)場合は、ステップS120へと進む(ステップS70)。ステップS120においては、これ以上のパスワード入力を拒絶して、認証処理を終了する。ステップS80では、第k+1パスワードの生成規則に従って、追加符号列を第kパスワードの所定の位置に追加し、第k+1パスワードを生成する。次いで、第k+1パスワードを新たなパスワードとする(k=k+1:ステップ90)。次いで、ステップS100において、新たなパスワード(第kパスワード)に対するエラー入力回数k1の値を初期値に戻し、ステップ30に進む。上記の処理により、本実施の形態による認証装置においては、第kパスワード(kは、1以上m未満の自然数)の入力要求に対して、許容エラー入力回数が所定の回数に達した場合に、新パスワード生成規則に則って、第kパスワードの所定の位置に、予め登録しておいた追加符号列の内から任意の符号列を追加し、第kパスワードより符号長の長い第k+1のパスワードを生成し、これを新しいパスワードとして使用することを、k=mとなるまで繰り返す。
そして、第mパスワードの入力要求に対して、エラー入力が所定の回数に達した場合、不正アクセスを目的としたアクセス要求であると判断して、これ以上のパスワードの入力を拒否する。
上記のようにして本実施の形態による認証装置が動作する結果として、認証の際に要求されるパスワードは、パスワードのエラー入力の発生回数(パスワード解析の為の試行回数)の増加に応じて、順次“総当り法”によるパスワード解析への耐性の高い符号長の長いパスワードに変化していく。この際、上記表3と同等のパスワード解析への耐性を得る為に使用する符合の数は、9文字であり、上記表3の27文字と比較して少なくてすむ。
尚、第kパスワードの入力要求に対して、正しいパスワードが入力された場合には、認証装置は、正規のアクセスと認め、システムへのアクセスを認めると共に、パスワードを第1パスワードに戻すことが望ましい。
また、第kパスワードの入力要求に対して、正しいパスワードが入力されないうちに、アクセス要求が中止された場合は、アクセス要求が中止された時刻から予め設定したある時間が経過するまで、新たなアクセス要求に対しては、最初の認証パスワードとしてアクセス要求が中止された第kパスワードの入力を要求しても良い。「認証パスワードとして第kパスワードの入力を要求される。」ことは、正規ユーザーに対しては、「何らかの不正アクセスを目的としたアクセス」が存在したことを知らせるサインとなる。また、不正アクセスを目的に、再度改めてアクセスを試みる者に対しては、第1パスワード解析の機会を減少させる結果となる。
尚、図2に示す本実施の形態によるパスワードの変更の様子において、符号列の追加位置が、旧パスワードの前段、中段、後段のいずれか1箇所に追加した場合を例に挙げて説明したが、旧パスワードへの符号列の追加位置は、1箇所に限定されるものではなく複数位置であってもよい。また、旧パスワードへの符号列の追加位置が複数の場合には、追加位置によって異なる符号列を追加してもよい。
尚、追加符号列の追加位置を複数箇所とした場合、以下のような利点がある。
1)「第kパスワードに、追加符号列を追加して第kパスワードを生成する。」場合、一番容易に思いつく新パスワード生成規則は、「第kパスワードの何処か1箇所に、追加符号列を追加して第kパスワードを生成する。」ことである。追加符号列の追加場所を、パスワードの何処か1箇所とした場合、パスワード生成の規則が単純となり、第3者に追加符号列の内容が漏洩した場合に、追加符号列の追加位置を変えた“総当り法”を仕掛けられるとパスワードを解析される可能性が大きくなる。これに対して、追加符号列の追加位置を複数箇所とした場合には、追加符号列を単一の場所に追加する場合に比べて、パスワード生成の規則が、複雑になりパスワード生成規則の類推がより一層困難になるという利点がある。
1)「第kパスワードに、追加符号列を追加して第kパスワードを生成する。」場合、一番容易に思いつく新パスワード生成規則は、「第kパスワードの何処か1箇所に、追加符号列を追加して第kパスワードを生成する。」ことである。追加符号列の追加場所を、パスワードの何処か1箇所とした場合、パスワード生成の規則が単純となり、第3者に追加符号列の内容が漏洩した場合に、追加符号列の追加位置を変えた“総当り法”を仕掛けられるとパスワードを解析される可能性が大きくなる。これに対して、追加符号列の追加位置を複数箇所とした場合には、追加符号列を単一の場所に追加する場合に比べて、パスワード生成の規則が、複雑になりパスワード生成規則の類推がより一層困難になるという利点がある。
2)符号長の長い新パスワードを生成する際に、複数個所の追加符号列の追加場所に同一の追加符号列を追加するパスワード生成規則を採用した場合、追加する追加符号列の符号長を短くすることが可能であり、追加符号列の暗記の負荷を小さくすることができるという利点がある。例えば、第kパスワードより4文字符号長の長い第k+1パスワードを生成する場合、追加符号列の追加場所が1箇所の場合、4文字の追加符号列が必要となる。しかしながら、追加符号列の追加場所が2箇所(2文字)の場合、追加する符号を同じとすると追加符号列は2文字で充分となる(新パスワード生成に必要な符号列を、4文字から2文字に減らすことができる)。
一方、旧パスワードへの符号列の追加位置が複数の場合に、追加位置によって異なる符号列を追加した場合の効果については以下のように説明できる。
追加位置によって異なる符号列(符号長は同じだが符号の内容が異なる符号列、あるいは符号長が異なる符号列)を追加する利点は、基本的にパスワード生成の規則をより複雑にして、新パスワードの選択肢を多くできることである。
例えば、第kパスワードより4文字符号長の長い第k+1パスワードを、第kパスワードの一番前(a)と一番後ろ(b)の2箇所に、それぞれ符号列を追加して生成する場合、以下のように3通りの選択肢が生じる。
i)aの部分に1文字、bの部分に3文字の追加符号を追加。
ii)aの部分に2文字、bの部分に2文字の追加符号を追加。
iii)aの部分に3文字、bの部分に1文字の追加符号を追加。
i)aの部分に1文字、bの部分に3文字の追加符号を追加。
ii)aの部分に2文字、bの部分に2文字の追加符号を追加。
iii)aの部分に3文字、bの部分に1文字の追加符号を追加。
その結果、第k+1パスワード生成に使用する符号列(4文字)が、第3者に漏洩した場合でも、第k+1パスワード生成に使用する符号列を、2箇所(複数の)追加位置にどのようにして配分して入れるのかに関する選択肢が増えることで、正しいパスワードを解析することがより困難となるという効果がある。
尚、図2の説明において、パスワードの入力要求が1から3に進むにつれて、追加位置を変更した例を示しているが、「第kパスワードの後ろに、追加符号列を追加して、第k+1パスワードを生成する。」というより単純な方法を採用することも可能である。
尚、パスワードの入力要求が1から3に進むにつれて、追加位置を変更することで、「第kパスワードの後ろに追加符号列を追加し、第k+1パスワードを生成する。」言う、比較的類推が容易な新パスワード生成規則を採用すると、追加符号列が第3者に漏洩した際、パスワードの解析が容易となってしまう可能性がある。そこで、これを回避する為の方法として、パスワード毎に、意図的に追加符号列の追加位置を変更することで、新パスワード生成規則の類推を困難とすることができる。
以上に説明したように、本実施の形態によるパスワード生成方法とこのパスワードを用いた認証装置においては、パスワードの解析を目的とした“総当り法”で必然的に発生するエラー入力の回数に応じて、パスワードを旧パスワードに新たな符号列を追加したより符号長の長いパスワードに順次変更していくことを特徴としている。
この特徴により、本発明のパスワード生成方法と認証装置においては、以下のような利点がある。
1)エラー入力回数が増加する毎に、パスワードが符号長の長いものに変更される為、偶然正しいパスワードがヒットする偶発ヒット確率が上昇しない。
2)エラー入力回数が増加する毎に、パスワードが符号長の長いものに変更される為、“総当り法”によるパスワード解析に必要な試行回数を、幾何級数的に増大させ、不正アクセスをしようとする側の負担を増大させることができる。
3)基本パスワードとして使用可能な符号の種類より、追加符号列として使用可能な符号の種類を多くすることで、パスワードで使用する符号の種類を増加させ、パスワード符号長の増加に加えて“総当り法”によるパスワード解析に必要な試行回数を更に増大させ、不正アクセスをしようとする側の負担を更に増大させることができる。
3)“総当り法”は、パスワード全体を解析対象とする為、符号長が長くなった新パスワードから、第1パスワード部分だけを選択して解析することができない。この為、第1パスワードに対する集中した解析を回避でき、第1パスワードのパスワードとしての寿命を延ばすことができる。
4)新パスワードの生成規則(旧パスワードの何処に、どのような規則で、追加符号列を追加するか)と追加符号列の内容の2つが分からない限り、如何なる新パスワードが生成されるかを第3者が類推することは困難である。この為、新パスワードの生成規則を秘匿できれば、追加符号列の内容を秘密にする必要性が低下し、追加符号列の内容を暗記する必要がなくなり、メモ等に記録しておけるようになる。
5)第1パスワードに対する入力試行回数を少なくすることで、パスワードのセキュリティの多くを、追加符号列の内容と、新パスワードの生成規則に受け持たせることができる為、第1パスワードを変えなくても、追加符号列の内容と、新パスワードの生成規則を変更することで、容易にセキュリティを改善できる。
1)エラー入力回数が増加する毎に、パスワードが符号長の長いものに変更される為、偶然正しいパスワードがヒットする偶発ヒット確率が上昇しない。
2)エラー入力回数が増加する毎に、パスワードが符号長の長いものに変更される為、“総当り法”によるパスワード解析に必要な試行回数を、幾何級数的に増大させ、不正アクセスをしようとする側の負担を増大させることができる。
3)基本パスワードとして使用可能な符号の種類より、追加符号列として使用可能な符号の種類を多くすることで、パスワードで使用する符号の種類を増加させ、パスワード符号長の増加に加えて“総当り法”によるパスワード解析に必要な試行回数を更に増大させ、不正アクセスをしようとする側の負担を更に増大させることができる。
3)“総当り法”は、パスワード全体を解析対象とする為、符号長が長くなった新パスワードから、第1パスワード部分だけを選択して解析することができない。この為、第1パスワードに対する集中した解析を回避でき、第1パスワードのパスワードとしての寿命を延ばすことができる。
4)新パスワードの生成規則(旧パスワードの何処に、どのような規則で、追加符号列を追加するか)と追加符号列の内容の2つが分からない限り、如何なる新パスワードが生成されるかを第3者が類推することは困難である。この為、新パスワードの生成規則を秘匿できれば、追加符号列の内容を秘密にする必要性が低下し、追加符号列の内容を暗記する必要がなくなり、メモ等に記録しておけるようになる。
5)第1パスワードに対する入力試行回数を少なくすることで、パスワードのセキュリティの多くを、追加符号列の内容と、新パスワードの生成規則に受け持たせることができる為、第1パスワードを変えなくても、追加符号列の内容と、新パスワードの生成規則を変更することで、容易にセキュリティを改善できる。
尚、表1は、m=4の本発明の認証方法の各パスワードに対する偶発ヒット確率と、許容試行入力回数20回でのパスワードの偶発ヒット確率を示す表である。表2は、追加符号列を数字だけでなく、アルファベットに拡大した場合のm=4の本発明の認証方法の各パスワードに対する偶発ヒット確率と、許容試行入力回数20回でのパスワードの偶発ヒット確率を示す表である。表3は、m=4の従来の認証方法の各パスワードに対する偶発ヒット確率と、許容試行入力回数20回でのパスワードの偶発ヒット確率を示す表である。表4は、単一パスワードに対して許容試行入力回数20回とした場合の、パスワードの偶発ヒット確率を示す表である。
本発明は、パスワード生成装置及びパスワード入力に基づく認証機構を有する装置に利用可能である。
10…パスワード正誤判定装置
20…パスワードエラーカウンター
30…パスワード切替え装置
40…第1パスワード記憶装置
50…追加符号列記憶装置
60…新パスワード生成装置
61…パスワード生成規則格納装置
62…追加符号列組込み装置
41…第2パスワード記憶装置
42…第3パスワード記憶装置
43…第4パスワード記憶装置
20…パスワードエラーカウンター
30…パスワード切替え装置
40…第1パスワード記憶装置
50…追加符号列記憶装置
60…新パスワード生成装置
61…パスワード生成規則格納装置
62…追加符号列組込み装置
41…第2パスワード記憶装置
42…第3パスワード記憶装置
43…第4パスワード記憶装置
Claims (15)
- パスワード入力要求に対するパスワードのエラー入力回数が所定の数に達する毎に、パスワードを第1から第m(mは2以上の自然数)まで変更する認証装置において、
第k(kは1以上m未満の自然数)パスワードに対して所定の規則に従って符号列を追加していくことにより第k+1パスワードとすることを特徴とする認証装置。 - パスワード入力インターフェイスと、
該パスワード入力インターフェイスから入力されたパスワードと現在のパスワードとの正誤を判定するパスワード正誤判定装置と、
該パスワード正誤判定装置により判定されたパスワードのエラー入力回数をカウントするパスワードエラー入力カウンターと、
符号列で構成された第1の認証コードである第1パスワードを格納する第1パスワード記憶装置と、
第2の認証コードである追加符号列を格納する追加符号列記憶装置と、
前記パスワードエラー入力カウンターにより測定された、第kパスワードの入力要求に対するパスワードのエラー入力が所定の回数に達する毎に、現在の第kパスワードの所定の位置に、前記追加符号列を所定の規則に従って追加して前記第kパスワードよりも符号長の長い新たな第k+1パスワードを生成する新パスワード生成装置と、
該新パスワード生成装置により生成された新パスワードに現在のパスワードを切替えるパスワード切換装置と
を備えたことを特徴とする認証装置。 - 前記追加符号列に使用可能な符号の種類を、基本パスワードに使用可能な符号より多くしたことを特徴とする請求項2に記載の認証装置。
- 前記新パスワード生成装置は、前記現在のパスワードの後段に、前記追加符号列から符号列を追加して新パスワードを生成することを特徴とする請求項2に記載の認証装置。
- 前記現在のパスワードの前段に、前記追加符号列から符号列を追加して前記新パスワードを生成することを特徴とする請求項2に記載の認証装置。
- 前記現在のパスワードの符号列の中段に、前記追加符号列から符号列を追加して新パスワードを生成することを特徴とする請求項2の認証装置。
- パスワードのエラー入力回数をカウントするパスワードエラー入力カウンターと、符号列で構成された第1の認証コードである第1パスワードを格納する第1パスワード記憶装置と、第2の認証コードである追加符号列を格納する追加符号列記憶装置と、を備え、
前記パスワードエラー入力カウンターにより測定された、第kパスワードの入力要求に対するパスワードのエラー入力が所定の回数に達する毎に、現在の第kパスワードの所定の位置に、前記追加符号列を所定の規則に従って追加して前記第kパスワードよりも符号長の長い新たな第k+1パスワードを生成する新パスワード生成装置。 - 前記新パスワード生成装置は、前記現在のパスワードの後段に、前記追加符号列から符号列を追加して新パスワードを生成することを特徴とする請求項7に記載の新パスワード生成装置。
- 前記現在のパスワードの前段に、前記追加符号列から符号列を追加して新パスワードを生成することを特徴とする請求項7に記載の新パスワード生成装置。
- 前記現在のパスワードの符号列の中段に、前記追加符号列から符号列を追加して新パスワードを生成することを特徴とする請求項7に記載の新パスワード生成装置。
- パスワードを変更する認証方法において、
パスワードのエラー入力回数が所定の数に達する毎に、予め設定した新パスワード生成規則に基づいて、予め登録しておいた符号列の内から任意の符号列を、現在のパスワードの所定の位置に追加して新パスワードを生成するステップを有することを特徴とする認証方法。 - パスワード入力要求に対して、パスワードのエラー入力回数が所定の数に達する毎に、パスワードを変更する認証方法において、
認証の為のパスワード入力要求を、符号列で構成された第1の認証コードである第1パスワードから開始して、エラー入力回数が所定の数に達する毎に、順次第1から第m(mは2以上の自然数)パスワードまで、パスワードを順次符号長の長い新パスワードに変更するステップを有することを特徴とする認証方法。 - 第kパスワードの入力要求に対するパスワードのエラー入力が、所定の回数に達する毎に、現在の第kパスワードの所定の位置に、予め設定していた追加符号列の符号列を、所定の規則に従って追加して、第kパスワードより符号長の長い新たな第k+1パスワードを生成するステップを有することを特徴とする請求項12に記載の認証方法。
- 第kパスワードの入力要求に対するパスワードのエラー入力が所定の回数に達する毎に、現在の第kパスワードの所定の位置に、前記追加符号列を所定の規則に従って追加して前記第kパスワードよりも符号長の長い新たな第k+1パスワードを生成するステップを有することを特徴とする新パスワード生成方法。
- コンピューターに、請求項11から14までのいずれか1項に記載のステップを実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006141825A JP2007310819A (ja) | 2006-05-22 | 2006-05-22 | パスワード解析への耐性を高めたパスワード生成方法及びこのパスワードを用いた認証装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006141825A JP2007310819A (ja) | 2006-05-22 | 2006-05-22 | パスワード解析への耐性を高めたパスワード生成方法及びこのパスワードを用いた認証装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007310819A true JP2007310819A (ja) | 2007-11-29 |
Family
ID=38843586
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006141825A Pending JP2007310819A (ja) | 2006-05-22 | 2006-05-22 | パスワード解析への耐性を高めたパスワード生成方法及びこのパスワードを用いた認証装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007310819A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010176391A (ja) * | 2009-01-29 | 2010-08-12 | Nec System Technologies Ltd | パスワード認証装置、パスワード認証方法およびプログラム |
| KR101600474B1 (ko) * | 2015-08-28 | 2016-03-07 | 주식회사 엔터소프트 | 솔티드 패스워드 인증방법 |
| JP2018029292A (ja) * | 2016-08-18 | 2018-02-22 | コニカミノルタ株式会社 | 情報処理装置およびプログラム |
| JP2018508920A (ja) * | 2015-10-28 | 2018-03-29 | 北京金山▲辧▼公▲軟▼件股▲ふん▼有限公司Beijing Kingsoft Office Software,Inc. | デジタル検証コードを生成する方法および装置 |
| JP2020046989A (ja) * | 2018-09-19 | 2020-03-26 | 株式会社東芝 | 認証装置 |
-
2006
- 2006-05-22 JP JP2006141825A patent/JP2007310819A/ja active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010176391A (ja) * | 2009-01-29 | 2010-08-12 | Nec System Technologies Ltd | パスワード認証装置、パスワード認証方法およびプログラム |
| KR101600474B1 (ko) * | 2015-08-28 | 2016-03-07 | 주식회사 엔터소프트 | 솔티드 패스워드 인증방법 |
| WO2017039156A1 (ko) * | 2015-08-28 | 2017-03-09 | 주식회사 엔터소프트 | 솔티드 패스워드 인증방법 |
| JP2018508920A (ja) * | 2015-10-28 | 2018-03-29 | 北京金山▲辧▼公▲軟▼件股▲ふん▼有限公司Beijing Kingsoft Office Software,Inc. | デジタル検証コードを生成する方法および装置 |
| US10565366B2 (en) | 2015-10-28 | 2020-02-18 | Beijing Kingsoft Office Software, Inc. | Numerical verification code generation method and device |
| JP2018029292A (ja) * | 2016-08-18 | 2018-02-22 | コニカミノルタ株式会社 | 情報処理装置およびプログラム |
| JP2020046989A (ja) * | 2018-09-19 | 2020-03-26 | 株式会社東芝 | 認証装置 |
| JP7034870B2 (ja) | 2018-09-19 | 2022-03-14 | 株式会社東芝 | 認証装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1540869B1 (en) | System and method for user authentication with enhanced passwords | |
| US8677465B2 (en) | Preventing inadvertent lock-out during password entry dialog | |
| US8549314B2 (en) | Password generation methods and systems | |
| JP4547447B2 (ja) | パスワード認証装置およびパスワード認証方法 | |
| JP6706007B2 (ja) | 認証装置、認証方法及び電子機器 | |
| US20070022299A1 (en) | Password authentication device, recording medium which records an authentication program, and authentication method | |
| US11068568B2 (en) | Method and system for initiating a login of a user | |
| US8117652B1 (en) | Password input using mouse clicking | |
| JP2005149388A (ja) | パスワード認証装置、並びに、そのプログラムおよび記録媒体 | |
| JP5833640B2 (ja) | パスワード生成および検証のための方法、デバイス、およびコンピュータプログラム支援 | |
| JP2007310819A (ja) | パスワード解析への耐性を高めたパスワード生成方法及びこのパスワードを用いた認証装置 | |
| JP5568696B1 (ja) | パスワード管理システム及びパスワード管理システム用プログラム | |
| JP2006293804A (ja) | パスワードの入力及び認証システム | |
| EP2947591A1 (en) | Authentication by Password Mistyping Correction | |
| JP2007310817A (ja) | 追加認証方法及び認証装置 | |
| JP2003186835A (ja) | パスワード設定方法及びシステム | |
| JP2007249344A (ja) | ユーザ認証システムおよび方法 | |
| JP2001202334A (ja) | ユーザ識別情報の検証システム | |
| JP5997662B2 (ja) | 生体認証装置、生体認証方法および入退室管理システム | |
| JP2007265117A (ja) | ユーザ認証システムおよび方法 | |
| JP2008210033A (ja) | 利用者認証プログラム、利用者認証方法及び装置 | |
| JP2018517211A (ja) | 情報入力方法及び装置 | |
| KR20230138766A (ko) | 비밀번호 입력 힌트 표시 및 제어 방법 | |
| JP5700897B1 (ja) | ユーザ認証システム、ユーザ認証方法、プログラム及び情報記憶媒体 | |
| KR101629868B1 (ko) | 디바이스 잠금 제어 방법 및 장치 |