JP2018518779A - 少なくとも1つのパスワードを生成する方法とデバイス - Google Patents
少なくとも1つのパスワードを生成する方法とデバイス Download PDFInfo
- Publication number
- JP2018518779A JP2018518779A JP2017566302A JP2017566302A JP2018518779A JP 2018518779 A JP2018518779 A JP 2018518779A JP 2017566302 A JP2017566302 A JP 2017566302A JP 2017566302 A JP2017566302 A JP 2017566302A JP 2018518779 A JP2018518779 A JP 2018518779A
- Authority
- JP
- Japan
- Prior art keywords
- password
- partial
- list
- characters
- passwords
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
入力することにより機器の状態を第1の動作状態から第2の動作状態へ変化させるための少なくとも1つのパスワードを生成する方法及びデバイスにおいて、本発明によれば、そのパスワードの文字数が、前記機器の第1の動作状態の持続時間に依存して設定される。【選択図】図2
Description
本発明は、第1の動作状態から第2の動作状態に機器を移行させるための少なくとも1つのパスワードを生成する方法及びデバイスに関する。
パスワードの入力は、今日では、フライス加工ロボット、X線装置又はスマートメータなどの機器のロック解除(認証、ログインともいう)に、ほぼデフォルトで使われている。
工業用設備、発電所、病院内の医療エリアなど、区域の物理的な保護によって基本的な安全性が与えられている環境においては特に、ICカードのように質の高い認証機構にかかる高額の出費は、断念されることが多い。一方でパスワードは、侵入が認識されていない場合であっても、「ログイン」処理時に、不正な認証に対する保護があるという、最低限の要件に対応していなければならない。
一般に、この最低限の要件は、特殊文字(記号)、大文字及び小文字の使用といった基準を基礎とするか、又はパスワードの長さを基礎とする。パスワードの長さに関しては、単純なシステムの場合には8文字の長さであればよいが、より重要なシステムの場合には15文字以上の長さであるのが標準である。
短時間の非アクティブ後に機器をロックするスクリーンセーバ/スクリーンロック機構と連動して、ほとんどの場合、短い作業中断が過ぎた後に、ロック解除のために再びパスワード全体を入力しなければならないという事態が生じる。しかし、このことは、緊急を要する環境において、例えば操作者が迅速に警告に応答しなければならないときに、不利である。フルキーボードをもたない入力システムではさらに不利となり、例えばタッチ式スクリーンの場合、長いパスワードの入力は面倒で間違いを起こしやすい作業である。
文字入力によるログインに対する代替解決策は、例えば、より迅速な認証を達成することを目的とする、PIN(暗証番号)を用いたICカード認証、生体認証の指紋センサ、あるいは非接触チップなど、高価なハードウェアを基礎とした解決策である。
スマートフォン又はタブレットのようなモバイル端末では、スワイプにより入力できるパターンを介するPIN入力方法が確立されている。当該パターンは、ディスプレイ上に残ったスワイプ跡によって推測され得るので、認証操作が簡便になる結果として安全性が低下する。
音声認識による認証も、エラー率が高いことから、重要な環境では定着していない。
本発明の目的は、使用者の利便性と安全性とを適切に両立させてあって、迅速な認証を行うことができる方法及びデバイスを提供することにある。
上記目的は、独立形式請求項に記載した特徴によって達成される。本発明の発展させた態様が引用形式請求項に記載されている。
本発明は、入力することで第1の動作状態から第2の動作状態へ機器の状態を変化させるための少なくとも1つのパスワードを生成する方法に関し、該パスワードの文字数が、前記機器の第1の動作状態の持続時間に依存して設定されることを特徴とする。好ましくは、前記持続時間が長くなると、より多数の文字数が設定されるようにする。
本発明に係る方法は、機器が第1の動作状態、例えば非アクティブ状態に長くあるほど、動作状態の変化に必要とされるパスワードがより強力になっていくという利点をもつ。この文脈で「より強力」とは、例えばパスワードの桁数がより大きくなって、パスワードがより漏洩し難くなることを意味する。一方で、第1の動作状態の持続時間が短い場合には、より短いパスワードが使用され、したがって、少ない情報量のパスワードにより少しの時間で機器は動作状態を変えることができる。
本発明に係る方法の一態様において、次のステップが実行される。
a) 第1の文字数のパスワードが正常に入力された後、少なくとも1つの部分パスワードのリストが作成される。この少なくとも1つの部分パスワードは、前記パスワードの文字の一部を有し、当該少なくとも1つの部分パスワードの文字数は、前記第1の文字数以下である。
b) 前記リストによって、第1の動作状態から第2の動作状態へ機器の状態を変化させるためのパスワードが多数提供される。
a) 第1の文字数のパスワードが正常に入力された後、少なくとも1つの部分パスワードのリストが作成される。この少なくとも1つの部分パスワードは、前記パスワードの文字の一部を有し、当該少なくとも1つの部分パスワードの文字数は、前記第1の文字数以下である。
b) 前記リストによって、第1の動作状態から第2の動作状態へ機器の状態を変化させるためのパスワードが多数提供される。
このように、パスワード及び部分パスワードを含んだリストを用いる簡単な方式で、本発明に係る方法は実行される。
前記持続時間に関する単位時間が経過すると、1つ以上の部分パスワードが前記リストから消去される。この単位時間は、当該リストの修正を実行するまでの周期を表す。すなわち、単位時間の経過後は、該単位時間の経過後にリストに残っている部分パスワード/パスワードだけがなお利用可能であるように、保証される。これら残っている部分パスワード/パスワードは、単位時間経過前よりも安全性が上がっている。
この1つ以上の部分パスワードの消去後、前記リストの次の修正までの単位時間は、増加又は減少させることができる。これによって、パスワードの安全性を、予め決めた条件に適合させることができる。例えば、この単位時間は、リストに含まれている全ての部分パスワードの中で最小文字数である部分パスワードの長さに応じて飛躍的に増やせる。他の例、例えば第1の動作状態の活性時間が長引いて機器の安全性を速やかに高めなければならない場合では、リストに残されている部分パスワードの個数減少に伴って単位時間を減らすことができる。
さらに拡張した態様では、前記単位時間の値が、少なくとも、前記リストにおいて最小文字数をもつ部分パスワードのエントロピ(情報量)に基づいて決められる。この場合、部分パスワードの長さのみならず、部分パスワードの文字組み合せも考慮される。選択文字列を予測することは複雑(精緻であることを意味する)であるから、最短と判断される部分パスワードのエントロピが比較的高い場合には、該部分パスワードが漏洩する確率は低いと想定されるので、長い単位時間を選択することができる。
前記単位時間の値は、機器の距離に基づいて、あるいは、位置を特定して、より具体的には機器の地理的位置を特定して、決定することもできる。この場合、単位時間の決定にあたって、位置的な安全要件を考慮することができる。不正操作時に起こり得る損害が大きい設備(プラント)においては、不正操作時に起こり得る経済的損害が少ない設備における場合に比べて短い値が、単位時間に対して選ばれる。これは、例えばGPS(全地球測位システム)に基づいた位置決定で行うことができる。さらに、操作者が機器から遠く離れているほど、目立たずにパスワード漏洩による機器への攻撃が行われ得るから、機器と操作者との間の距離も補足するとよい。この場合は、操作者がより離れているほど、より短い単位時間を生じさせるとよい。
本発明に係る方法の一態様によると、前記リストに1つしかパスワードがなくなった時点で、リストからの部分パスワード消去を中断する。リストにパスワードが全く含まれないことになって、動作状態の変更ができなくなる現象を、この態様により回避することができる。
好ましくは、複数の部分パスワードを含む前記リストは、次のように作成される。少ない文字数である1つの部分パスワードが、その文字数よりも多い文字数である1つの部分パスワードの中に完全に含まれる。これによって使用者は、1つのパスワードを覚えておくだけで済む。すなわちこの場合、該パスワードを部分入力するときに、既に部分パスワードがリスト中に部分パスワードとして利用可能になっていることで、その部分パスワードは認識可能である。加えて、この方式によって部分パスワードの生成が著しく簡素化され、使用者はパスワード変形を全く覚える必要がない。さらに、パスワードを入力する使用者は、リストに残っている部分パスワードが具体的にどのように構成されているかを覚える必要がない。これによって手順の簡素化がもたらされる。
好ましくは、本発明に係る方法の一態様によると、前記少なくとも1つの部分パスワードは、ハッシュコーディング法によりコード化されてリストにソートされて記録される。部分パスワード/パスワードが暗号化された形態でリストに記録されるから、本発明に係る方法に対する不正操作の可能性が著しく低減される。
ハッシュコーディング法を使用する場合、部分パスワードのコード化の際にさらに乱数値が考慮され、その乱数値が付加的にリストに記録されるのであれば、さらに安全性を高めることができる。当該乱数値はいわゆる「ソルト:salt」であり、これはハッシュ値を作成する際に使用され、予め計算されたハッシュ値がパスワードクラッキングに使用されることを防止する。
本発明は、入力することで第1の動作状態から第2の動作状態へ機器の状態を変化させるための少なくとも1つのパスワードを生成するデバイスに関する。このデバイスは、前記機器の第1の動作状態の持続時間に依存してパスワードの文字数を設定するように構成された第1のユニットを備える。
このデバイスの利点は、上記本発明に係る方法の利点同様である。
好ましくは、当該デバイスは、上述の方法に係るステップの少なくとも1つを実行するように構成された第2のユニットを有する。
このデバイスの利点は、上記本発明に係る方法の利点同様である。
次の図に基づいて、本発明とその実施形態について詳細に説明する。
第1の実施形態を例示する図。
第1の実施形態に係るフローチャート。
本発明を実施するデバイスを示した図。
図面において、同じ機能及び作用をもった要素には共通の符号が付されている。
第1の実施形態を示す図1では、本発明について、機器がワークステーションCOMの形態である例が示されている。使用者は、このワークステーションCOMを使用して作業する。したがって使用者は、最初にワークステーションにログイン(認証)をしなければならない。この目的で使用者は、自分のパスワードPM=P4=「a!8m」を入力する(かぎ括弧はパスワードに属さない。本欄において、パスワードを読みやすいようにかぎ括弧でくくって示す)。パスワードは、数字、英字及び特殊文字(記号)などの一連の文字からなる。入力、検証、そして認証用パスワードの更なる生成は、プログラムPRGの実行によって制御され、当該プログラムPRGは、例えばワークステーションCOMにインストールされており、ワークステーションCOMにおいて実行される。
パスワードが入力されると、プログラムPRGに従って、そのパスワードが有効であるか否か検証される。プログラムPRGに従い、メモリ内に記憶されているリストLISにおいて、入力されたパスワードが検索される。該当するパスワードがリストLISにおいて見つかれば、プログラムPRGに従ってワークステーションCOMの状態が第1の動作状態から第2の動作状態へ変化する。これにより使用者は、目的のプログラムをスタートさせることができる。第1の動作状態は、ワークステーションCOMの操作インターフェースへのアクセスが禁止されるので、第1の動作状態ではパスワードの入力しかできない。第2の動作状態では、使用者に対して操作インターフェースが使用可能になり、制御を行える。以下、第1の動作状態は非アクティブ状態とも呼び、第2の動作状態はアクティブ状態とも呼ぶ。該当するパスワードがリストLISに見つからない場合、プログラムPRGに従って、画面が使用者に解放されない、すなわち、ワークステーションCOMは非アクティブ状態を維持する。
図2は、第1の実施形態に従って本発明を実施するステップを示す。中央にはリストLISを示してあり、このリストLISは、ワークステーションCOMをアクティブ状態に移行させることのできる1つ以上のパスワードPMを含んでいる。最初のリストLISは、最長(フルレングス)のパスワードPM=P4を指示する。このP4はマスターパスワードとも呼び、部分パスワード(P1,P2,P3)が後にこのマスターパスワードP4から導き出される。この例のマスターパスワードP4は、4文字のパスワードPM=「a!8m」を示す。
図2において、左側に第1のフローチャートが示されていて、この第1のフローチャートは開始ステップSTAで始まり、そして第1のステップS1に移行する。第1のステップS1では、パスワードの入力に応じて、該入力パスワードが有効なパスワード(P4)であるか否か検証される。この検証では、入力されたパスワードが、リストLISに登録されているパスワード(P4)の1つ、すなわち有効なパスワードに一致することが検証される。有効なパスワードが見つからなかった場合、第1のフローチャートの経路Nを通って第1のフローチャートの終了ステップENDへ進む。一方、入力されたパスワードがリストLISにあるパスワードの1つに合致した場合は、経路Yを通って第2のステップS2へ移行し、この第2のステップS2において、異なる長さを有する、すなわち、それぞれが異なる文字数を有する、部分パスワードP1,P2,P3が生成される。第2のステップS2では、この例の場合、リストLISに次の部分パスワードP1,P2,P3が書き込まれる。
部分パスワード 内容 文字数
P1 a 1
P2 a! 2
P3 a!8 3
P1 a 1
P2 a! 2
P3 a!8 3
部分パスワードP1,P2,P3のそれぞれは、マスターパスワードP4の一部を使った1文字〜3文字の文字数のパスワードであり、つまり、マスターパスワードP4の文字数以下である。
部分パスワードP1,P2,P3の生成後、第1のフローチャートは終了ステップENDにおいて終了する。
ワークステーションCOMへの権限のないアクセスを避けるために、ワークステーションCOMは、例えば1分の間に使用者からの入力が一切なければ、該1分経過後に自身の状態をアクティブ状態から非アクティブ状態へ切り換える。そしてワークステーションCOMは例えばスクリーンセーバを起動し、ログインの一環としてのパスワードの入力だけを受け付け、他の入力は受け付けない状態となる。
アクティブ状態から非アクティブ状態へ移行すると、図2の右側に示した第2のフローチャートが開始ステップST0から始まる。スタート後ただちに第3のステップS3へ移行し、この第3のステップS3において、持続時間TDに関する単位時間TPが設定される。単位時間TPは、所定の時間が経つとパスワード及び部分パスワードのリストLISが1つ以上の部分パスワードの分だけ縮小されるという、周期を定義する。持続時間TDは、第1の動作状態が活性化している時間である。すなわち、持続時間TD中に、単位時間TPで表す複数の周期において徐々に安全性を高めるべく、単位時間TP毎に、容認されるパスワードの長さを増し、有効なパスワードのリストを修正する。単位時間TPは、例えば5分である。この単位時間TPが最初に経過するまでは、使用者は、迅速且つ簡単にワークステーションCOMをアクティブ状態へ移行させるために、マスターパスワードP4の代わりに、部分パスワードの1つ、例えばP1=「a」を使用することができる。
単位時間TPの設定後、第3のステップS3から第4のステップS4へ移行する。この計時で5分の単位時間TPが経過しないうちは、経路Nを通って第4のステップS4が繰り返し呼び出される。5分の単位時間TPが経過すると、経路Yを通って第5のステップS5へ移行する。第5のステップS5において1つ以上の部分パスワードP1,P2,P3がリストから消去される。本例の場合、リストLISにある部分パスワードP1,P2,P3のうち、最小文字数の部分パスワードが消去される。つまり、第5のステップS5において部分パスワードP1が消去される。
この消去後、第6のステップS6へ進む。第6のステップS6においては、マスターパスワードP4を除く他の短縮されたパスワード、すなわち部分パスワードP1,P2,P3の残りがリストLISに無くなったか否かがチェックされる。部分パスワードが無くなっていなければ経路Nを通って第3のステップS3へ戻り、部分パスワードが無くなっていれば終了ステップEN0において終了となる。終了ステップEN0の後は、使用者は、マスターパスワードP4によってしかワークステーションCOMをアクティブ状態にすることができない。
第3のステップS3に戻った場合は、新たな単位時間TP、例えば10分が設定される。この新たな単位時間TPの間には、使用者は、残っている短縮されたパスワード、つまり部分パスワードP2,P3を用いてワークステーションCOMをアクティブ状態に移行させることができる。該当部分パスワードの入力が行われなかった場合は、10分の単位時間TP経過後、部分パスワードP2がリストLISから消去される。この後、他の単位時間TP、例えば20分が設定され、該単位時間TPの間であれば使用者は、部分パスワードP3又はマスターパスワードP4によりワークステーションCOMのロックを解除することができる。パスワード入力が行われなかった場合には、20分の単位時間TP経過後に第5のステップS5において部分パスワードP3がリストLISから消去され、第6のステップS6によるチェック後に終了ステップEN0において終了となる。このときにはリストLISにマスターパスワードP4だけが存在し、部分パスワードは無くなっている。以上のようにして、使用者は、5+10+20=35分間は、短縮されたパスワード、すなわち部分パスワードP1,P2,P3を用いてワークステーションCOMのロックを解除することが可能とされる。この後は、マスターパスワードP4でしかワークステーションCOMをアクティブ状態に移行させることができない。
本発明は、部分パスワード及びマスターパスワードの文字数に関して、上述の例に限定されない。マスターパスワードは10文字よりも多い文字数であることが多い。また、部分パスワードの最小文字数として、例えば少なくとも3文字を設定することができ、この場合はパスワード選択時に基礎安全性を備えることができる。部分パスワードは、マスターパスワードに整合する文字列でなければならないということはなく、任意の形式で、マスターパスワードと無関係の形式であっても生成できる。例えば、プログラムPRGに従う部分パスワードの問い合わせ時に、マスターパスワードの特定位置、例えば2番目及び4番目の文字位置を問い合わせる例などが可能である。
部分パスワードは、マスターパスワードに整合する文字列として生成してもよい。部分パスワードにマスターパスワードの文字列を用いてあれば、使用者はマスターパスワードだけを覚えておけばよい。特に、整合文字列が、マスターパスワードの一番目と同じ文字から始まる場合、有利である。この場合、使用者は、パスワード入力時、文字をマスターパスワードの文字順に従って入力していくことができ、このときに入力されるパスワードは、新たな文字が入力される都度、リストに格納されているパスワード及び部分パスワードと比較される。したがって、使用者は、リストに格納されている部分パスワードに関係なくマスターパスワードだけを覚えておけばよく、リスト中の部分パスワードのうち最小文字数の部分パスワードの文字数に相当するマスターパスワードの文字を使用者が入力すれば、アクティブ状態が達成される。これは、快適な操作と、非アクティブ状態からアクティブ状態への迅速な状態変化を可能にする。
マスターパスワード及び部分パスワードのいずれか又は両方を安全にリストに登録することができるように、マスターパスワード及び部分パスワードのいずれか又は両方を、ハッシュ関数(http://en.wikipedia.org/wiki/Hash_function参照)によりコード化することもできる。安全性を高めるために、ハッシュ関数によるコード化の際に、各部分パスワード及びマスターパスワードに対して、「ソルト(salt)」と呼ばれる個別の乱数値も付け加えられる。ハッシュコーディングは、たいていの場合、同じ長さのコード化部分パスワードを生成するので、コード化部分パスワードの記憶に加えて、関連する文字数及び必要があれば関連する乱数値も、ソートして格納するとよい。
部分パスワードを生成するために、第2のステップS2に対しては有効なパスワードがプレーンテキストで既知である。すなわち、当該パスワードはリストのエントリーに対して肯定的に検証済みのものであるからであり、場合によってはこの検証が、入力されたパスワードの乱数値を用いたハッシュコーディングの後に行われ得るからである。このパスワードから少なくとも1つの部分パスワードが生成されてリストに登録される。最小文字数の部分パスワードから始まるこのリストは縮小されるから、肯定的に検証されたパスワードに基づいて1つ以上の部分パスワードを生成することができる。全ての部分パスワードを消去すること及び全く新しいリストを開始することは、不必要である。
少なくとも1つの部分パスワードを消去するまでの単位時間は、個別に設定する他に、リストにある最も短い文字数をもつ部分パスワードのエントロピに依存して設定することもできる。例えば、部分パスワードが「aaa」である場合、そのエントロピは、部分パスワード「a$9」のエントロピよりも小さい。単位時間に関して、前者の場合にはより短い値を設定し且つ後者の場合にはより長い値を設定し、例えば、1分に対して8分の単位時間を設定できる。一般に、パスワードのエントロピは、各パスワード/部分パスワードの平均的な情報量の尺度を(又は平均的な情報密度の尺度も)表す。
さらに、単位時間は、(i)位置に依存して設定することもできるし、(ii)所定の場所からの使用者又は装置の距離に依存して設定することもできる。使用者又は機器が近い、例えば1つの建屋内である場合には、単位時間の個々の値は、使用者又は機器が数キロメートル互いに離れている場合よりも長く選定することができる。例えばその距離は、移動通信ネットワークの無線セル位置情報を介して検出可能である。後者の場合には、単位時間の値を短くすることが次のことを可能にする。すなわち、より短い時間で非常に安全なパスワードが動作状態を変化させるために必要とされ、したがって安全性が高められるということである。この拡張形態は、例えば乗法的因子により実現することができる。すなわち、時間間隔に掛け算する因子を、使用者又は機器が近い場合には例えば“2”とし、遠距離の場合には例えば“0.25”とする。この拡張形態の第1の選択肢では、機器の位置(設置場所)に依存して単位時間が選定される。機器が、例えば金庫室のようにアクセス管理を経なければ到達できない空間にある場合には、機器が開放された場所にある場合(すなわち例えば機器がインターネットカフェにあるインターネット接続機能付きPCである場合)よりも、長い単位時間を選定することができる。位置は、GPS(全地球測位システム)又は移動通信のような普通の探索システムから検出することができる。
上述した実施形態では、パスワード/部分パスワードがリストに登録され、単位時間経過後に、最短の長さをもつ、つまり最小文字数をもつ、1つ又以上の部分パスワードがリストから消去される。したがって、このときのログイン時には、最短よりも長い文字数のパスワード/部分パスワードが強制される。代替の実施形態では、まず全てのパスワード及び部分パスワードがリストに登録される。そして該リストに、次のログイン時にどのパスワードが容認できるか又は容認できないかを示すマークが挿入される。この代替実施形態では、単位時間経過後に、パスワード/部分パスワードが消去されるのではなくて、リスト中の前記マークが次のように更新される。すなわち、今までログイン時に許容していた部分パスワードのうちの1つだけ又は複数が、この後には許可されないように更新される。次の例はこの方式を示す。リストは以下のエントリーを含み、パスワードP4がマスターパスワードであり、このマスターパスワードからその他のパスワードP1,P2,P3が導き出されている。
リストエントリー番号 部分パスワード 内容 文字数
1 P1 a 1
2 P2 a! 2
3 P3 a!8 3
4 P4 a!8# 4
1 P1 a 1
2 P2 a! 2
3 P3 a!8 3
4 P4 a!8# 4
最初に、マークはリストエントリー番号1を指示し、このときにはパスワードP1〜P4が状態変化を起こすための容認可能なパスワードである。単位時間経過後、マークがリストエントリー番号2にセットされる。この時点からは、パスワードP2〜P4だけがなおも容認可能となる。さらに別の単位時間経過後に、マークがリストエントリー番号3にセットされ、これによってパスワードP3とパスワードP4だけが容認パスワードとしてログイン時に許可される。最後に、さらに別の単位時間経過後、マークがリストエントリー番号4にセットされ、これによって、マスターパスワードP4、つまり最も多い文字のパスワードだけが、状態変化を生じさせるためになおも容認可能となる。しばらくの後に第2の動作状態から第1の動作状態への状態変化があった場合、マークは再びリストエントリー番号1にセットされ、第1の単位時間が開始され、該第1の単位時間経過後にマークは次の値に移動する。代替的に、第2の動作状態への機器の状態変化が生じた後に、マークを、最小の長さのパスワードに該当する値にセットしてもよい。一般的に言えば、第1の単位時間は、第2の動作状態到達後に既に、又は第1の動作状態到達後に既に、例えばタイマを利用して開始することができる。
使用者がワークステーションを状態変化させるためにパスワードを必要とする例に基づいて本発明を説明した。一般的に言って、当該機器の使用者は製造設備内の他の機器であり得る。この場合の他の機器は、データ交換、例えば制御命令又は測定値の交換のために、まずパスワードにより当該機器において認証を行わなければならず、認証に成功した後に初めてデータを伝送することができる。この認証によって、当該機器は第1の動作状態から第2の動作状態へ移行する。この場合も、短縮されたパスワード、すなわち部分パスワードの使用によって、認証がスピードアップされる。認証プロセスの複雑さが当該機器側で、例えばプログラムPRG及びリストLISによって著しく簡素化されるからである。
本発明は、デバイスVOR(図3参照)により実施することができる。このデバイスVORは、入力することにより機器COMの状態を第1の動作状態から第2の動作状態へ変化させるための少なくとも1つのパスワードP1,P2,P3,P4を生成するように構成されており、機器COMの第1の動作状態の持続時間TDに依存して入力パスワードP1,P2,P3,P4の文字数を設定する、第1のユニットE1を備える。また、デバイスVORは、本発明に係る方法の上記可能な形態の少なくとも1つを実行可能であるように構成されている第2のユニットE2を備えるとよい。第1及び第2のユニットE1,E2は、ソフトウェアで、ハードウェアで、又はソフトウェアとハードウェアとの組合せで実装及び構成することができる。このために、本発明に係る方法の個々のステップが機械読取可能なコードでメモリユニットに記憶され、このコードは、メモリユニットに接続されたプロセッサユニットによって読取可能である。該プロセッサユニットは、第1及び第2のユニットE1,E2及び他のユニットと共に、バスBUSにより、他の機器と交換する通信情報などのデータを交換するように構成され、パスワードエントリーを取得するように構成されている。
COM ワークステーション
PRG プログラム
LIS リスト
PM パスワード
P1〜P3 部分パスワード
P4 マスターパスワード
VOR デバイス
E1 第1のユニット
E2 第2のユニット
PRG プログラム
LIS リスト
PM パスワード
P1〜P3 部分パスワード
P4 マスターパスワード
VOR デバイス
E1 第1のユニット
E2 第2のユニット
Claims (13)
- 入力することにより機器(COM)の状態を第1の動作状態から第2の動作状態へ変化させるための少なくとも1つのパスワード(P1,P2,P3,P4)を生成する方法であって、
前記パスワード(P1,P2,P3,P4)の文字数が、前記機器(COM)の第1の動作状態の持続時間(TD)に依存して設定される、方法。 - 前記持続時間(TD)が長くなると、より多数の前記文字数が設定される、請求項1に記載の方法。
- a) 第1の文字数のパスワード(P4)が正常に入力された後、少なくとも1つの部分パスワード(P1,P2,P3)のリスト(LIS)が作成され、前記少なくとも1つの部分パスワード(P1,P2,P3)は、前記第1の文字数のパスワード(P4)の文字の一部を有し、前記少なくとも1つの部分パスワード(P1,P2,P3)の文字数は、前記第1の文字数以下であり、
b) 前記リスト(LIS)によって、前記機器の状態を前記第1の動作状態から前記第2の動作状態へ変化させるためのパスワードが多数提供される、請求項1又は2に記載の方法。 - 前記持続時間(TD)に関する単位時間(TP)が経過すると、1つ以上の前記部分パスワード(P1,P2,P3)が前記リスト(LIS)から消去され、当該単位時間(TP)は、前記リスト(LIS)の修正を実行するまでの周期を表す、請求項3に記載の方法。
- 少なくとも1つの前記部分パスワード(P1,P2,P3)を消去した後、前記リスト(LIS)の次の修正までの前記単位時間(TP)を増加又は減少させる、請求項4に記載の方法。
- 前記単位時間(TP)の値が、少なくとも、前記リストにおいて最小文字数をもつ前記部分パスワード(P1,P2,P3)のエントロピに基づいて決められる、請求項5に記載の方法。
- 前記単位時間(TP)の値が、前記機器(COM)の距離、位置、又は地理的位置に基づいて決定される、請求項4〜6のいずれか1項に記載の方法。
- 前記リスト(LIS)に1つしかパスワード(P4)がなくなった時点で、請求項4に係る前記リスト(LIS)からの前記部分パスワード(P1,P2,P3)の消去が中断される、請求項4〜7のいずれか1項に記載の方法。
- 複数の前記部分パスワード(P1,P2,P3)を含む前記リスト(LIS)は、少ない文字数である1つの前記部分パスワード(P1)が、当該文字数よりも多い文字数である別の前記部分パスワード(P2,P3)の中に完全に含まれるように、作成される、請求項3〜8のいずれか1項に記載の方法。
- 前記少なくとも1つの部分パスワード(P1,P2,P3)は、ハッシュコーディング法によりコード化されて前記リスト(LIS)にソートされて記録される、請求項3〜9のいずれか1項に記載の方法。
- 前記部分パスワード(P1,P2,P3)のコード化の際にさらに乱数値が考慮され、該乱数値が付加的に前記リストにソートされて記録される、請求項10に記載の方法。
- 入力されることにより機器(COM)の状態を第1の動作状態から第2の動作状態へ変化させるための少なくとも1つのパスワード(P1,P2,P3,P4)を生成するデバイスであって、
前記機器(COM)の第1の動作状態の持続時間(TD)に依存して前記パスワード(P1,P2,P3,P4)の文字数を設定する第1のユニット(E1)を備える、デバイス。 - 請求項2〜11のいずれか1項に記載の方法に含まれたステップの少なくとも1つを実行するように構成された第2のユニット(E2)を備える、請求項12に記載のデバイス。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102015211475.9 | 2015-06-22 | ||
| DE102015211475.9A DE102015211475A1 (de) | 2015-06-22 | 2015-06-22 | Bereitstellung zumindest eines Passworts |
| PCT/EP2016/061263 WO2016206872A1 (de) | 2015-06-22 | 2016-05-19 | Bereitstellung zumindest eines passworts |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2018518779A true JP2018518779A (ja) | 2018-07-12 |
Family
ID=56080391
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017566302A Pending JP2018518779A (ja) | 2015-06-22 | 2016-05-19 | 少なくとも1つのパスワードを生成する方法とデバイス |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20180150621A1 (ja) |
| EP (1) | EP3300522B1 (ja) |
| JP (1) | JP2018518779A (ja) |
| KR (1) | KR20180020245A (ja) |
| CN (1) | CN107710214A (ja) |
| DE (1) | DE102015211475A1 (ja) |
| WO (1) | WO2016206872A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10938566B2 (en) * | 2018-08-08 | 2021-03-02 | Keir Finlow-Bates | Blockchain based identity and access management |
| CN109543371B (zh) * | 2018-08-09 | 2020-09-08 | 湖州申脉科技有限公司 | 一种智能设备与社交软件的隐私管理方法和系统 |
| CN109379178B (zh) * | 2018-11-15 | 2022-01-11 | 成都卫士通信息产业股份有限公司 | 加解密装置构建方法、系统、介质及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013131164A (ja) * | 2011-12-22 | 2013-07-04 | Internatl Business Mach Corp <Ibm> | ロック機能を有する情報処理装置およびロック機能を実行させるためのプログラム |
| US20130326611A1 (en) * | 2012-05-30 | 2013-12-05 | Google Inc. | Variable-strength security based on time and/or number of partial password unlocks |
| JP2015087907A (ja) * | 2013-10-30 | 2015-05-07 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | ユーザの操作を制限する機能を有する情報処理装置、方法、及び、プログラム |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7043640B2 (en) * | 2001-02-14 | 2006-05-09 | Pritchard James B | Apparatus and method for protecting a computer system |
| US7243239B2 (en) * | 2002-06-28 | 2007-07-10 | Microsoft Corporation | Click passwords |
| US7467403B2 (en) * | 2004-01-09 | 2008-12-16 | Harris Scott C | Techniques for entry of less-than-perfect-passwords |
| US7400878B2 (en) * | 2004-02-26 | 2008-07-15 | Research In Motion Limited | Computing device with environment aware features |
| US8990927B2 (en) * | 2006-06-12 | 2015-03-24 | Jasim Seleh Al-Azzawi | Lock with new feature |
| US20100024028A1 (en) * | 2008-07-22 | 2010-01-28 | Ernest Samuel Baugher | Wireless mobile device with user selectable privacy for groups of resident application programs and files |
| TW201038038A (en) * | 2009-04-13 | 2010-10-16 | Gamania Digital Entertainment Co Ltd | Bi-directional communication authentication mechanism |
-
2015
- 2015-06-22 DE DE102015211475.9A patent/DE102015211475A1/de not_active Withdrawn
-
2016
- 2016-05-19 US US15/573,576 patent/US20180150621A1/en not_active Abandoned
- 2016-05-19 WO PCT/EP2016/061263 patent/WO2016206872A1/de active Application Filing
- 2016-05-19 EP EP16724874.9A patent/EP3300522B1/de active Active
- 2016-05-19 KR KR1020187001905A patent/KR20180020245A/ko not_active Application Discontinuation
- 2016-05-19 CN CN201680036971.9A patent/CN107710214A/zh active Pending
- 2016-05-19 JP JP2017566302A patent/JP2018518779A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013131164A (ja) * | 2011-12-22 | 2013-07-04 | Internatl Business Mach Corp <Ibm> | ロック機能を有する情報処理装置およびロック機能を実行させるためのプログラム |
| US20130326611A1 (en) * | 2012-05-30 | 2013-12-05 | Google Inc. | Variable-strength security based on time and/or number of partial password unlocks |
| JP2015087907A (ja) * | 2013-10-30 | 2015-05-07 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | ユーザの操作を制限する機能を有する情報処理装置、方法、及び、プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107710214A (zh) | 2018-02-16 |
| KR20180020245A (ko) | 2018-02-27 |
| WO2016206872A1 (de) | 2016-12-29 |
| EP3300522A1 (de) | 2018-04-04 |
| DE102015211475A1 (de) | 2017-01-05 |
| US20180150621A1 (en) | 2018-05-31 |
| EP3300522B1 (de) | 2019-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11704134B2 (en) | Device locator disable authentication | |
| JP6426791B2 (ja) | ユーザ認証方法及びこれを実現するためのシステム | |
| US20170086069A1 (en) | System and Method of Authentication by Leveraging Mobile Devices for Expediting User Login and Registration Processes Online | |
| JP5969688B2 (ja) | 携帯型電子装置のための位置に基づくアクセス制御 | |
| EP2809046B1 (en) | Associating distinct security modes with distinct wireless authenticators | |
| JP2015509632A (ja) | ログイン方法及びログイン装置、端末並びにネットワークサーバー | |
| WO2017045386A1 (zh) | 触摸屏的指纹识别方法及装置、触摸屏 | |
| CN109690541B (zh) | 随机密码强制失败 | |
| US9160744B1 (en) | Increasing entropy for password and key generation on a mobile device | |
| CN103067397A (zh) | 一种桌面云系统的安全认证方法、接入网关及认证服务器 | |
| CN110651261A (zh) | 具有用于鉴认的唯一识别符的安全存储器装置 | |
| CN103984904A (zh) | 一种防止移动终端锁屏密码被破解的方法及装置 | |
| KR20180053759A (ko) | 전자 디바이스의 잠금 스크린을 인에이블하기 위한 시스템들 및 방법들 | |
| CN105450405A (zh) | 一种密码设置和认证方法及系统 | |
| JP2018518779A (ja) | 少なくとも1つのパスワードを生成する方法とデバイス | |
| JP5568696B1 (ja) | パスワード管理システム及びパスワード管理システム用プログラム | |
| CN107005558B (zh) | 基于位置的用户歧义消除 | |
| JP3966070B2 (ja) | 機器制御システム及び携帯端末 | |
| CN106203016B (zh) | 一种终端处理方法及设备 | |
| EP3328013B1 (en) | Information processing method and device | |
| WO2017166359A1 (zh) | 用户域的访问方法、访问装置及移动终端 | |
| RU2488879C1 (ru) | Система и способ для защиты доступа к данным, сохраненным на мобильном устройстве, с помощью пароля | |
| WO2016187966A1 (zh) | 一种终端及保护终端数据安全的方法 | |
| JP2016091155A (ja) | 情報処理装置及びユーザ端末装置及びプログラム | |
| CN105553952A (zh) | 一种基于移动终端的输入口令处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180222 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180412 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190131 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190219 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20190515 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20191015 |