JP6910748B1 - パスワード認証システム - Google Patents
パスワード認証システム Download PDFInfo
- Publication number
- JP6910748B1 JP6910748B1 JP2020192419A JP2020192419A JP6910748B1 JP 6910748 B1 JP6910748 B1 JP 6910748B1 JP 2020192419 A JP2020192419 A JP 2020192419A JP 2020192419 A JP2020192419 A JP 2020192419A JP 6910748 B1 JP6910748 B1 JP 6910748B1
- Authority
- JP
- Japan
- Prior art keywords
- password
- authentication
- user
- website
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
【課題】桁数の少ないパスワードを用いて高度なセキュリティレベルを維持できるパスワード認証システムを提供する。【解決手段】パスワード認証システムの認証プロセスは、利用者の頭脳に記憶されたユーザパスワードと端末装置に秘匿的に保存されWebサイト毎に設定された固有コードを用いて論理演算を行なって多数桁の演算結果を出力し、その演算結果を認証パスワードとして認証処理を行なう。従って、利用者が少数桁のパスワードを頭脳に記憶するだけで、多数桁の複雑なパスワードを用いて認証処理が行なわれる。さらに、1つの認証パスワードを用いてWebサイトごとに異なる認証パスワードが出力される。【効果】利用者がパスワードを失念するリスクがなくなると共にパスワード認証のセキュリティレベルを格段に向上させることができる。【選択図】図2
Description
本発明は、ビット数が少ないパスワードを用いて高度なセキュリティレベルを維持できるパスワード認証システムに関するものである。
さらに、本発明は、パスワードの使い回し及びフィッシング詐欺に対して有効な対策が施されたパスワード認証システムに関するものである。
さらに、本発明は、パスワードの使い回し及びフィッシング詐欺に対して有効な対策が施されたパスワード認証システムに関するものである。
ユーザ識別情報(ユーザID)とパスワードを用いて本人確認を行うパスワード認証は、ソフトウェアで実現できるため実装コストが安い利点があり、また、どこでも使用できる汎用性を有している。また、SSL暗号通信の普及により通信経路においてパスワードが盗聴されるリスクが大幅に低下している。これらの理由から、パスワード認証は広く普及している。
一方、パスワード認証はハッカによりパスワードが推測されやすい欠点があり、パスワードが盗まれた場合不正使用され、多大な被害が発生する。これに対処するため、パスワードの桁数を多くすれば、パスワードが推測されるリスクが低下する。しかしながら、パスワードの桁数を多くしたのでは、設定されたパスワードを正確に記憶し続けることが困難になり、パスワードを失念するリスクがある。一方、少数ビット数の簡単なパスワードを用いた場合、パスワードを忘れるリスクは低下するものの、パスワードが盗まれる危険性が増大する。
インターネットの普及により多数のアカウントを有するユーザも多数存在する。このようなユーザにとって、サイト毎に異なるパスワードを設定し記憶することは事実上困難であり、複数のサイトについて同一のパスワードを使い回すことが行われている。しかしながら、Webサイトによってはセキュリティが脆弱なサイトも存在する。この場合、セキュリティが脆弱なサイトがハッカによる攻撃を受け、パスワードが流出した場合、同一のパスワードを用いる他のサイトにおける安全性が損なわれてしまう。特に、金融機関のようなセキュリティが強固なサイトであっても、使い回しにって別のサイトからパスワードが流出した場合、たとえ高度なセキュリティを有していても、不正使用される危険性がある。従って、使い回しに起因する問題を解消することも重要な課題である。
さらに、フィッシング詐欺によりパスワードが盗まれる被害も多発している。従って、利用者をフィッシング詐欺から有効に防護することも緊急の課題である。パスワードの使い回し及びフィッシング詐欺対策として、パスワードを紙にメモする方法、パスワードを電子フアィルにより端末装置に保存する方法、パスワードを管理ツールを用いて保存する方法が提案されている(例えば、非特許文献1参照)。
「パスワードリスト攻撃とは、被害の原因と対策方法」2019年5月14日最終更新
「パスワードリスト攻撃とは、被害の原因と対策方法」2019年5月14日最終更新
上述したパスワードを紙にメモする方法では、パスワードがネットワークを経由して窃盗される危険はないものの、紙そのものを紛失したり盗難の危険性がある。また、電子フアイルに保存する方法及び管理ツールを用いて保存する方法では、端末装置内にパスワードが存在するため、ハッカのアタックによりパスワードが外部に流失するおそれがある。すなわち、現在実用化されているパスワード認証システムでは、パスワードの使い回しに起因する問題及びフィッシング詐欺の問題に対して十分に対応できていないのが実情である。
さらに、インターネットを利用したサービス業界では、パスワード認証システムが現実に広く普及しているため、多数のサイトで現実に稼働しているパスワード認証システムについて、大幅な変更を要することなくセキュリティレベルを向上させることが急務の課題である。従って、現在稼働中のパスワード認証システムについて簡単な改善策を講ずるだけでパスワードの使い回し及びフィッシング詐欺に有効に対応できるパスワード認証の開発も強く要請されている。
本発明の目的は、現行のパスワード認証システムに大幅な変更を加えることなく、桁数の少ない簡単なパスワードを用いて高度なセキュリティレベルを維持できるパスワード認証システムを提供することにある。
本発明の別の目的は、パスワードの使い回しの問題を解決できるパスワード認証システムを提供することにある。
さらに、本発明の別の目的は、高度なセキュリティレベルが維持できると共にパスワードの使い回し起因する問題及びフィッシング対策として有効なパスワード認証システムを実現することにある。
本発明の別の目的は、パスワードの使い回しの問題を解決できるパスワード認証システムを提供することにある。
さらに、本発明の別の目的は、高度なセキュリティレベルが維持できると共にパスワードの使い回し起因する問題及びフィッシング対策として有効なパスワード認証システムを実現することにある。
本発明によるパスワード認証システムは、Webサイトに設けられ、認証パスワードを用いて本人認証を行う認証サーバと、ユーザが利用する端末装置とを具えるパスワード認証システムにおいて、
前記端末装置は、ユーザパスワードを入力する入力手段と、ユーザ毎に設定された固有コードを記憶した固有コード記憶手段と、ユーザによって入力されたユーザパスワードと前記固有コード記憶手段に記憶した固有コードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、前記認証パスワードとユーザ識別情報を前記Webサイトの認証サーバに送信する手段とを有し、
Webサイトの認証サーバは、端末装置から送られてくるパスワード登録要求に含まれる認証パスワードを認証の基準となる登録パスワードとしてユーザ識別情報と共に記憶するパスワード記憶手段、及び、端末装置から送られてくるパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、前記パスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証する検証手段とを有し、
セットアップに際し、端末装置は、ユーザによって入力されたユーザパスワードと、前記固有コード記憶手段に記憶した固有コードとを用いて論理演算を行なって認証パスワードを生成し、生成された認証パスワードを含むパスワード登録要求を前記Webサイトの認証サーバに送信し、当該認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとしてユーザ識別情報と共に前記パスワード記憶手段に記憶し、
パスワード認証に際し、ユーザは自身のユーザパスワードを端末装置に入力し、前記端末装置は入力されたユーザパスワードと前記固有コード記憶手段に記憶されている固有コードを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード認証要求を前記Webサイトの認証サーバに送信し、
前記認証サーバは、受信したパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信したパスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証することを特徴とする。
前記端末装置は、ユーザパスワードを入力する入力手段と、ユーザ毎に設定された固有コードを記憶した固有コード記憶手段と、ユーザによって入力されたユーザパスワードと前記固有コード記憶手段に記憶した固有コードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、前記認証パスワードとユーザ識別情報を前記Webサイトの認証サーバに送信する手段とを有し、
Webサイトの認証サーバは、端末装置から送られてくるパスワード登録要求に含まれる認証パスワードを認証の基準となる登録パスワードとしてユーザ識別情報と共に記憶するパスワード記憶手段、及び、端末装置から送られてくるパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、前記パスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証する検証手段とを有し、
セットアップに際し、端末装置は、ユーザによって入力されたユーザパスワードと、前記固有コード記憶手段に記憶した固有コードとを用いて論理演算を行なって認証パスワードを生成し、生成された認証パスワードを含むパスワード登録要求を前記Webサイトの認証サーバに送信し、当該認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとしてユーザ識別情報と共に前記パスワード記憶手段に記憶し、
パスワード認証に際し、ユーザは自身のユーザパスワードを端末装置に入力し、前記端末装置は入力されたユーザパスワードと前記固有コード記憶手段に記憶されている固有コードを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード認証要求を前記Webサイトの認証サーバに送信し、
前記認証サーバは、受信したパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信したパスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証することを特徴とする。
本人認証に当たって、ユーザは、秘匿的に保持するユーザパスワードを端末装置に入力する。端末装置は、入力されたユーザパスワードと端末装置に保存されているWebサイトに固有な固有コードとを用いて論理演算し、その演算結果を認証パスワードとして出力する。認証パスワードはネットワークを介してWebサイトの認証サーバに送信する。認証サーバは、端末装置から送信された認証パスワードと認証サーバに登録されている登録パスワードとの一致性を検証する。この構成によって、以下の4つの作用効果が達成される。
第1の効果として、ユーザによって端末装置に入力されたユーザパスワードを固有コードを用いて論理演算することにより多数桁の認証パスワードに変換しているので、ユーザによって入力された少数桁のユーザパスワードが多数桁の認証パスワードに変換され、多数桁の認証パスワードを用いて本人認証が行なわれる。この結果、認証作業で用いられるパスワードの情報エントロピーが大幅に増大するので、情報エントロピーの大きい多数桁の認証パスワードを用いて認証する場合と等価なセキュリティレベルが得られ、セキュリティレベルが大幅に上昇する。他方において、ユーザが保持するユーザパスワードは少数桁の文字列ないし数列で十分であるので、利用者の負担が軽減され、利用者がパスワードを失念する課題も解消される。
第2の作用効果として、使い回しに起因する問題が解決される。本発明では、ユーザは1つのユーザパスワードを使用するだけで、Webサイト毎に異なる認証パスワードを出力することができる。すなわち、本発明では、端末装置は各Webサイト毎に設定された固有コードを記憶した固有コード記憶手段を有する。よって、Webサイトごとに異なる固有コードが設定され、ユーザパスワードとWebサイト毎に相違する固有コードとを用いて論理演算が行なわれる。よって、同一のユーザパスワードを用いもWebサイト毎に異なる認証パスワードが出力される。この結果として、ユーザはWebサイト毎に異なるパスワードを保持する必要がなくなり、パスワードの使い回しに起因する問題が解決される。さらに、複数のWebサイトにアクセスする場合であっても、ユーザは1つの同一のユーザパスワードを端末装置に入力するだけであるため、ユーザの負担が大幅に軽減される。
第3の効果として、パスワード認証に用いられる認証パスワードが端末装置内に保管されないことである。すなわち、本発明では、ユーザが保持するユーザパスワードは少数桁の簡単な数列や文字列で済むので、ユーザパスワードはユーザの頭脳に明瞭に記憶することができ、端末装置に保管する必要はない。さらに、実際の検証に用いられる認証パスワードは、ユーザパスワードと固有コードとの論理演算の結果として出力されるため、認証作業中に一時的に端末装置に存在するだけである。すなわち、認証作業に用いられるユーザパスワード及び認証パスワードは、認証処理中に端末装置に一時的に存在するだけである。従って、ハッカのアタックによりパスワードが盗まれる危険性が大幅に減少する。
さらに、第4の効果として、現在実用化されているパスワード認証システムに格別な変更を加えることなく、従来の認証システムよりもセキュリティレベルが格段に向上したパスワード認証システムが実現される。すなわち、セットアップ作業として、少数桁のユーザパスワードを多数桁の認証パスワードに変換する端末モジュールを端末装置に設定し、認証サーバのデータベースに登録パスワードをセットアップするだけであり、認証サーバの変更は不要である。すなわち、認証サーバには、ユーザIDと登録パスワードを含むアカウントが登録されている。従って、認証サーバは、受信した認証要求に含まれる認証パスワードとアカウントに登録された登録パスワードとの一致性を検証するだけで本人認証を行うことができる。このように、認証サーバには格別な変更を加える必要はなく、ユーザパスワードを多数桁の認証パスワードに変換する端末モジュールを端末装置に設定するだけで、従来のパスワード認証システムをそのまま利用することができる。
本発明の技術的特徴は以下のように要約される。すなわち、現行の認証サーバに格別な変更を加えることなく、ユーザが入力した少数桁のユーザパスワードを多数桁の認証パスワードに変換する端末モジュールを端末装置に設定するだけで、使い回しに起因する問題が解消した高いセキュリティレベルのパスワード認証システムが実現される。
本発明では、固有コードとして、WebサイトのドメインやURLのようなWebサイトのアドレス情報、Webサイトがユーザに設定したお客様情報のような各ユーザに固有のユーザ情報やユーザID、又はユーザのメールアドレスを管理サーバや認証サーバの秘密鍵で暗号化した暗号化情報を用いることができる。例えば、WebサイトのドメインやURLは各Webサイト毎に相違するので、ユーザパスワードとWebサイトのドメイン又はURLとを用いて論理演算を実行すれば、1つの固定されたユーザパスワードを用いても各Webサイト毎に異なる認証パスワードを設定することができる。ここで、本発明のユーザパスワードは、現行のパスワード認証システムのパスワードに相当する。従って、利用者は、1つのパスワードを頭脳に記憶するだけでWebサイトごとに異なる認証パスワードを設定することができ、この結果、使い回しに起因する問題が解消すると共にユーザの負担も大幅に低減される。
ユーザパスワードと固有コードを用いる論理演算として、種々のハッシュ演算や暗号化演算を利用することができる。一例として、ユーザパスワード及び固有コードを連結し、連結されたコードデータについてハッシュ演算を行う。得られたハッシュ値を認証パスワードとして利用する。例えば、2桁のユーザパスワードと、24ビットの固有コードとを連結し、256ハッシュ演算を行なって256ビットの認証パスワードを出力する。この場合、単に2桁の数字をユーザパスワードとして暗記するだけで、32桁(256ビット)の認証パスワードを用いて認証処理が行なわれるため、利用者の負担が大幅に低減されると共にシステムのセキュリティレベルも相当高くなる。
本発明によるパスワード認証システムは、Webサイトに設けられ、認証パスワードを用いて本人認証を行う認証サーバと、ユーザが利用する端末装置とを具えるパスワード認証システムにおいて、
前記端末装置は、アクセス中のWebサイトのアドレス情報を取得するアドレス取得手段と、ユーザパスワードを入力する入力手段と、ユーザによって入力されたユーザパスワードとアドレス取得手段によって取得されたアドレスとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、前記認証パスワードをユーザ識別情報と共に前記Webサイトの認証サーバに送信する手段とを有し、
前記Webサイトの認証サーバは、認証の基準となる登録パスワードを記憶するパスワード記憶手段と、端末装置から送られてくるパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、前記パスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証する検証手段とを有し、
パスワード認証に際し、ユーザは目的とするWebサーバにアクセスすると共に自身のユーザパスワードを端末装置に入力し、前記端末装置は、アクセス中のWebサイトのアドレスを取得し、取得したWebサイトのアドレスとユーザによって入力されたユーザパスワードとを用いて前記論理演算を行って認証パスワードを生成し、生成された認証パスワードを前記Webサイトの認証サーバに送信し、
認証サーバは、受信したパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信した認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証することを特徴とする。
前記端末装置は、アクセス中のWebサイトのアドレス情報を取得するアドレス取得手段と、ユーザパスワードを入力する入力手段と、ユーザによって入力されたユーザパスワードとアドレス取得手段によって取得されたアドレスとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、前記認証パスワードをユーザ識別情報と共に前記Webサイトの認証サーバに送信する手段とを有し、
前記Webサイトの認証サーバは、認証の基準となる登録パスワードを記憶するパスワード記憶手段と、端末装置から送られてくるパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、前記パスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証する検証手段とを有し、
パスワード認証に際し、ユーザは目的とするWebサーバにアクセスすると共に自身のユーザパスワードを端末装置に入力し、前記端末装置は、アクセス中のWebサイトのアドレスを取得し、取得したWebサイトのアドレスとユーザによって入力されたユーザパスワードとを用いて前記論理演算を行って認証パスワードを生成し、生成された認証パスワードを前記Webサイトの認証サーバに送信し、
認証サーバは、受信したパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信した認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証することを特徴とする。
本発明では、端末装置に設けたアドレス取得機能を利用して、アクセス中の認証サーバないしWebサイトのアドレス情報を取得する。Webサイトのアドレスはサイトごとに相違するから、Webサイト又は認証サーバのアドレスを含めて論理演算を行うことにより、同一のユーザパスワードを用いても、各Webサイト毎に異なる認証パスワードが生成される。この結果、同一のユーザパスワードを用いても、認証サーバ又はWebサイトごとに異なる認証パスワードを用いて認証処理が行なわれるので、パスワードを使い回す必要性が消滅し、パスワードの使い回しの問題が解消する。
このパスワード認証システムのフィッシング詐欺に対する防衛効果について説明する。本発明のパスワード認証システムでは、認証パスワードの生成に対応して、アクセス中の認証サーバないしWebサイトのアドレス情報を取得し、取得したアドレス情報を用いて認証パスワードを生成する。よって、各認証サーバに対して、Webサイトごとに異なる固有の登録パスワードが設定される。例えば、○○〇銀行のWebサイトとの間でユーザ認証を行なう場合、認証のためのセットアップにおいて○○〇銀行のサイトのアドレス、例えばURL又はその一部が取得され、取得された○○〇銀行のアドレスと、利用者が記憶したユーザパスワードと、端末装置に保存されている固有コードとを用いて論理演算が行なわれ、演算結果が出力される。そして、出力された演算結果が認証パスワードとなり、認証サーバに送信され、登録パスワードとして登録される。
その後、正常な認証要求が行なわれると、認証要求の生成に先立って、端末装置によって○○〇銀行のアドレスが取得される。そして、取得されたアドレスと、ユーザによって入力されたユーザパスワードと、保存されている固有コードとを用いて論理演算が実行され、演算結果が認証パスワードとなり、認証パスワードを含む認証要求が認証サーバに送信される。認証パスワードは認証サーバに記憶されている登録パスワードと同一の演算コードを用いて生成されるので、認証サーバの認証処理において認証パスワードと登録パスワードとが一致する。その結果、当該認証要求は正常であると認定され、ログインが許可される。
これに対して、誤ってフィッシング詐欺のサイトに誘導された場合、ユーザのモニタ上には○○〇銀行のログイン画面と外見上ほぼ同一のログイン画面が表示される。よって、ユーザは、モニタ上に表示されたログイン画面は○○〇銀行の正式なログイン画面と思い込み、認証パスワードを生成しログイン画面に入力してしまう。そして、入力された認証パスワードはフィッシング詐欺のサイトに送信される。
しかしながら、フィッシング詐欺のサイトに送信された認証パスワードは、○○〇銀行に登録された正式な登録パスワードとは異なるビットコードである。すなわち、フィッシング詐欺のサイトに誘導された場合、認証パスワードの生成に先立って端末装置のアドレス取得機能が作動し、アクセス中のWebサイトのアドレスを取得する。一方、各Webサイトにはサイトごとに異なるアドレスが設定されているから、取得されたアドレスは○○〇銀行のアドレスとは相違する。従って、端末装置は、○○〇銀行のアドレスとは異なるアドレスと、ユーザパスワードと、固有コードとを用いて論理演算を実行する。その演算結果は、論理演算の演算コードが相違するため、正しい演算結果とは異なる別の演算結果が出力される。この結果、フィッシング詐欺のサイトに送信される認証パスワードは、正式な登録パスワードとは異なる別のビットコードである。従って、フィッシング詐欺に遇っても、認証パスワードが盗まれることはない。すなわち、このパスワード認証システムでは、認証パスワードの生成に応じてアクセス中のWebサーバのアドレスを取得するので、フィッシング詐欺に有効に対抗することができる。
上述した説明では、ユーザパスワードと、固有コードと、Webサイトのアドレスとを用いて論理演算を行なって認証パスワードを生成したが、固有コードを用いず、ユーザパスワードとアクセス中のWebサイトのアドレスを用いて論理演算を行なって認証パスワードを生成することもできる。
本発明による端末装置は、 認証パスワードを用いて本人認証を行うパスワード認証システムに用いられる端末装置であって、
ユーザによって保持されるユーザパスワードを入力する入力手段と、各Webサイト毎に設定された固有コードを記憶した固有コード記憶手段と、ユーザによって入力されたユーザパスワードとユーザによって指定されたWebサイトの固有コードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、前記認証パスワードとユーザ識別情報を前記Webサイトの認証サーバに送信する手段とを有し、
当該端末装置は、1つの同一のユーザパスワードを用いて、Webサイト毎に異なる認証パスワードを出力することを特徴とする。
ユーザによって保持されるユーザパスワードを入力する入力手段と、各Webサイト毎に設定された固有コードを記憶した固有コード記憶手段と、ユーザによって入力されたユーザパスワードとユーザによって指定されたWebサイトの固有コードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、前記認証パスワードとユーザ識別情報を前記Webサイトの認証サーバに送信する手段とを有し、
当該端末装置は、1つの同一のユーザパスワードを用いて、Webサイト毎に異なる認証パスワードを出力することを特徴とする。
本発明の別の端末装置は、認証パスワードを用いて本人認証を行うパスワード認証システムに用いられる端末装置であって、
アクセス中のWebサイトのアドレスを取得するアドレス取得手段と、ユーザによって保持されるユーザパスワードを入力する入力手段と、ユーザによって入力されたユーザパスワードとアクセス中のWebサイトのアドレスとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、前記認証パスワードとユーザ識別情報を前記Webサイトの認証サーバに送信する手段とを有し、
当該端末装置は、1つの同一のユーザパスワードを用いて、Webサイト毎に異なる認証パスワードを出力することを特徴とする。
アクセス中のWebサイトのアドレスを取得するアドレス取得手段と、ユーザによって保持されるユーザパスワードを入力する入力手段と、ユーザによって入力されたユーザパスワードとアクセス中のWebサイトのアドレスとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、前記認証パスワードとユーザ識別情報を前記Webサイトの認証サーバに送信する手段とを有し、
当該端末装置は、1つの同一のユーザパスワードを用いて、Webサイト毎に異なる認証パスワードを出力することを特徴とする。
本発明では、利用者の頭脳に記憶されたユーザパスワードと端末装置に秘匿的に保存されている固有コードを用いて論理演算を行なって多数桁の演算結果を出力し、多数桁の認証パスワードを用いて認証処理が行なわれる。従って、利用者が少数桁の簡単なパスワードを頭脳に記憶するだけで、多数桁の複雑なパスワードを用いて認証処理が行なわれる。よって、利用者がパスワードを失念する課題が解決すると共にパスワード認証のセキュリティレベルを格段に向上させることができる。
さらに、本発明のパスワード認証システムでは、論理演算に用いられる固有コードは、Webサイト毎に設定されコード情報であり、Webサイト毎に相違する。よって、1つのユーザパスワードを用いて各Webサイトごとに異なる認証パスワードを出力することができる。この結果、1つのユーザパスワードを用いて、Webサイト毎に異なる認証パスワードを用いて認証処理が行なわれるので、使い回しに起因する問題が解消する。
固有コードとして、Webサイトに固有のビットコード或いはユーザに特有のビットコードを用いることができる。Webサイトに固有のビットコードとして、Webサイトや認証サーバのアドレス情報やドメインを用いことができる。ユーザに特有のビットコードとして、Webサイト又は認証サーバからユーザに付与されるユーザ情報がある。例えば、銀行の「お客様番号」のようなユーザ情報は、各銀行のサイトごとに割り振られ、同一人に対して各サイトごとに異なるユーザ情報が設定される。よって、ユーザ情報を演算コードに取り入れて論理演算することにより、同一のユーザパスワードを用いても各Webサイト毎に異なる認証パスワードを出力することができる。
さらに、本発明のパスワード認証システムでは、端末装置は、アクセス中のWebサイトのアドレスを取得するアドレス取得手段を有し、認証パスワードの生成に先立ってアクセス中のWebサイトのアドレスを取得し、取得したアドレスを演算コードに取り入れて演算処理を行い、その演算結果を認証パスワードとして出力する。各サイトのドメインやアドレスはサイトごとに相違するから、同一のユーザパスワードを用いても、サイトごとに異なる認証パスワードを出力することができる。これにより、使い回しによる問題が解決する。さらに、フィッシング詐欺のサイトに誘導されてパスワードの入力が要求されても、フィッシング詐欺のサイトのアドレスを演算コードに含めて論理演算が行なわれるので、いずれのWebサイトの認証パスワードにも合致しない数列ないし文字列がフィッシング詐欺の画面に入力されるので、フィッシング詐欺によりパスワードが盗用される問題が解決される。
総合的な作用効果として、本発明によれば、利用者の頭脳に記憶し易い少数桁の簡単なパスワードを用いて、パスワードの使い回しの問題及びフィッシング詐欺の問題が一挙に解消し、セキュリティレベルが格段に向上したパスワード認証システムを実現することができる。さらに、現在稼働中のパスワード認証システムの端末装置に、ユーザパスワードを多数桁の認証パスワードに変換する端末モジュールを設けるだけで、本発明を実施することができる。
図1は本発明によるパスワード認証システムの全体構成を示す線図である。ネットワーク1には、ユーザが利用する複数の端末装置2−1〜2−nが接続される。さらに、ネットワーク1には、A銀行のWebサイト3、B銀行のWebサイト4、及びC証券のWebサイト5接続されている。これらWebサイトは、本人認証を行う認証サーバ3a〜5aをそれぞれ有し、端末装置からの認証要求は認証サーバ3a〜5aにより処理される。本発明では、Webサイトごとに異なるユーザパスワードを設定して本人認証を行うのではなく、1つのユーザパスワードを用いて端末装置において各Webサイトごとに異なる認証パスワードを生成し、各Webサイトごとに固有の認証パスワードを用いて本人認証を行なう。すなわち、ユーザは、目的とするWebサイトを指定して1つのユーザパスワードを端末装置に入力するだけで、各Webサイトごとに認証パスワードをそれぞれ生成し、Webサイトごとに固有の認証パスワードを用いてユーザ認証が行なわれる。
尚、ネットワーク1には、認証管理サーバ6が接続され、この認証管理サーバを通じてシングルサインオンでの複数のID/PW認証サーバへ適用することも可能である。
本発明によるパスワード認証システムの基本構成について説明する。本発明の基本思想は、ユーザの頭脳に秘匿的に記憶されている少数桁のユーザパスワードと、端末装置に保存されWebサイト毎に設定された多数桁の演算コードとを用いて論理演算を行なって、多数ビットのコードデータを出力する。出力されたコードデータを実際の認証作業に用いられるパスワード、すなわち認証パスワードとして用いる。
セットアップに際し、演算手段から出力される認証パスワードは、ネットワークを介してWebサイトの認証サーバに送信され、認証の基準となる登録パスワードとして記憶する。この登録パスワードは、ユーザ識別情報と共にデータベースに保存する。本人認証の際には、ユーザによってユーザパスワードが端末装置に入力され、ユーザによって入力されたユーザパスワードとユーザによって指定されたWebサイトの固有コードとを用いて論理演算が実行され、認証パスワードが生成される。生成された認証パスワードはネットワークを介して認証サーバに送信され、データベースに記憶されている登録パスワードとの一致性が検証され、一致する場合正当な権限を有する者の認証要求であると判定され、ログインすることができる。この仕組みを利用することにより、少数桁の簡単なユーザパスワードを用いて多数桁の認証パスワードを出力することができ、情報エントロピーの大きな多数桁のパスワードを用いて本人認証する場合と同様な高度なセキュリティレベルが達成される。しかも、ユーザパスワード及び認証パスワード共に端末装置に保存されないので、パスワードがハッカに盗まれる危険性も解消する。
さらに発展した本発明のパスワード認証システムは、パスワードの使い回しに起因する課題及びフィッシング詐欺による課題の両方を一挙に解決することができる。すなわち、本発明の別のパスワード認証システムでは、端末装置は、アクセス中のWebサイトのアドレス情報を取得する手段を有し、認証パスワードの生成に対応してアクセス中のWebサイトのアドレスを取得する。そして、取得したアドレスを演算コードに取り入れて演算処理を行い、その演算結果を認証パスワードとして出力する。各Webサイトのアドレスやドメインはサイト毎に相違するので、アクセス中のWebサイトのアドレスを演算コードに取り入れて論理演算を行なうことにより、アクセスしたWebサイトごとに異なる演算結果が生成される。この結果、同一のユーザパスワードを用いても各Webサイトごとに異なる認証パスワードが生成され、各サイトごとに異なる認証パスワードを用いてユーザ認証を行うことができる。
さらに、アクセス中のサイトのドメインを取得するので、フィッシング詐欺のサイトに誘導されてパスワードの入力が要求されても、フィッシング詐欺のサイトのドメインを演算コードに含めて論理演算が行なわれるので、いずれのサイトの認証パスワードにも合致しない数列ないし文字列がフィッシング詐欺のサイトに入力され、正しい認証パスワードがフィッシング詐欺のサイトに入力されることはない。このように、本発明のパスワード認証システムは、使い回しに起因する課題及びフィッシング詐欺に対する課題の両方を一挙に解決することができる。
論理演算式として、目的に応じて以下の論理式を用いることができる。
(1)[ユーザパスワード+固有コード]×ハッシュ演算=ハッシュ値
ユーザパスワードとユーザパスワードよりもビット数の多い固有コードを連結し、連結されたビット列についてハッシュ演算を実行する。得られたハッシュ値を認証パスワードとする。本例では、少数桁のユーザパスワードを桁数の大きな認証パスワードに変換する。従って、ユーザがパスワードを失念する可能性が減少すると共にセキュリティのレベルを一層高めることができる。
(2)[ユーザパスワード+固有コード+サイト情報(例えば、Webサイトのドメイン又はURL)]×ハッシュ演算=ハッシュ値
WebサイトのドメインやURLはWebサイト毎に相違する。従って、各Webサイトに設定される演算コードとしてWebサイトのドメインを用いれば、各Webサーバついて同一のユーザパスワードを用いても各Webサイト毎に演算コードが相違するため、各Webサーバ毎に相違する認証パスワードを形成することができる。これにより、パスワードの使い回しの問題が解決する。尚、固有コードを用いず、ユーザパスワードとサイト情報だけを用いて論理演算して認証パスワードを生成することも可能である。
(3)[ユーザパスワード+固有コード+ユーザ情報(例えば、WebサーバからIDユーザに対して設定される「お客様情報」)]×ハッシュ演算=ハッシュ値
お客様情報や口座番号のようなWebサイトによってユーザに対して設定される情報はWebサイト毎に相違する。よって、Webサイトによって設定されるユーザ情報を演算コードとして用いることにより、各Webサイト毎に相違する認証パスワードを設定することができる。この場合も、ユーザパスワードとユーザ情報とを用いて論理演算することができる。
(4)[ユーザパスワード+固有コード+アクセス中のWebサイトのアドレス情報]×ハッシュ演算=ハッシュ値
Webサイト及び認証サーバのアドレスは各サーバごとに相違する。従って、認証パスワードを生成する際、アクセス中の認証サーバのアドレスを取得し、取得したアドレスを用いて論理演算することにより同一のユーザパスワードを用いてWebサイトごとに異なる認証パスワードを設定することができる。さらに、認証パスワードを生成する際、アクセス中のサーバのドメインを取得し、取得したドメインを演算コードに含めて論理演算することにより、フィッシング詐欺のサイトに誘導されても、誤ったコード列が出力されるだけであり、いずれかのサイトに登録されたパスワードに合致したコード列が出力されないため、フィッシング詐欺に対して極めて有効である。
(5)[ユーザパスワード+固有コード+アクセス中のWebサイトのドメイン]×ハッシュ演算=ハッシュ値
(6)[ユーザパスワード+アクセス中のWebサイトのアドレス情報]×ハッシュ演算=ハッシュ値
ユーザパスワードとWebサイトのアドレスで十分な桁数の認証パスワードが得られる場合、固有コードを用いなくてもよい。
(7)[ユーザパスワード+アクセス中のWebサイトのドメイン]×ハッシュ演算=ハッシュ値
(1)[ユーザパスワード+固有コード]×ハッシュ演算=ハッシュ値
ユーザパスワードとユーザパスワードよりもビット数の多い固有コードを連結し、連結されたビット列についてハッシュ演算を実行する。得られたハッシュ値を認証パスワードとする。本例では、少数桁のユーザパスワードを桁数の大きな認証パスワードに変換する。従って、ユーザがパスワードを失念する可能性が減少すると共にセキュリティのレベルを一層高めることができる。
(2)[ユーザパスワード+固有コード+サイト情報(例えば、Webサイトのドメイン又はURL)]×ハッシュ演算=ハッシュ値
WebサイトのドメインやURLはWebサイト毎に相違する。従って、各Webサイトに設定される演算コードとしてWebサイトのドメインを用いれば、各Webサーバついて同一のユーザパスワードを用いても各Webサイト毎に演算コードが相違するため、各Webサーバ毎に相違する認証パスワードを形成することができる。これにより、パスワードの使い回しの問題が解決する。尚、固有コードを用いず、ユーザパスワードとサイト情報だけを用いて論理演算して認証パスワードを生成することも可能である。
(3)[ユーザパスワード+固有コード+ユーザ情報(例えば、WebサーバからIDユーザに対して設定される「お客様情報」)]×ハッシュ演算=ハッシュ値
お客様情報や口座番号のようなWebサイトによってユーザに対して設定される情報はWebサイト毎に相違する。よって、Webサイトによって設定されるユーザ情報を演算コードとして用いることにより、各Webサイト毎に相違する認証パスワードを設定することができる。この場合も、ユーザパスワードとユーザ情報とを用いて論理演算することができる。
(4)[ユーザパスワード+固有コード+アクセス中のWebサイトのアドレス情報]×ハッシュ演算=ハッシュ値
Webサイト及び認証サーバのアドレスは各サーバごとに相違する。従って、認証パスワードを生成する際、アクセス中の認証サーバのアドレスを取得し、取得したアドレスを用いて論理演算することにより同一のユーザパスワードを用いてWebサイトごとに異なる認証パスワードを設定することができる。さらに、認証パスワードを生成する際、アクセス中のサーバのドメインを取得し、取得したドメインを演算コードに含めて論理演算することにより、フィッシング詐欺のサイトに誘導されても、誤ったコード列が出力されるだけであり、いずれかのサイトに登録されたパスワードに合致したコード列が出力されないため、フィッシング詐欺に対して極めて有効である。
(5)[ユーザパスワード+固有コード+アクセス中のWebサイトのドメイン]×ハッシュ演算=ハッシュ値
(6)[ユーザパスワード+アクセス中のWebサイトのアドレス情報]×ハッシュ演算=ハッシュ値
ユーザパスワードとWebサイトのアドレスで十分な桁数の認証パスワードが得られる場合、固有コードを用いなくてもよい。
(7)[ユーザパスワード+アクセス中のWebサイトのドメイン]×ハッシュ演算=ハッシュ値
図2は本発明によるパスワード認証システムの具体的な認証プロセスの一例を示す図である。本例では、現在稼働しているパスワード認証システムの端末装置に本発明の端末モジュールを設定することによりセットアップを行う。また、論理演算の演算コードとして、ユーザパスワード、固有コード及びアクセス中のWebサイトのアドレスを用いる。
初めに、ユーザは目的とするWebサイトの認証サーバにアクセスし、アカウントを生成する(ステップ1)。アカウントは、ユーザID、ユーザのメールアドレス及び本人確認用パスワードを含む。
認証サーバは基本情報について重複チェックを行なった後、本人確認を行う(ステップ2)。本人確認に際し、認証サーバは、アカウントに登録されたメールアドレスに認証リンクを送信する。ユーザは、認証リンクをクリックし、ユーザIDと本人確認用のパスワードを入力する。認証サーバは、入力されたパスワードとアカウントに含まれるパスワードとの一致性を検証する。
本人確認に成功すると、認証サーバは、端末モジュールのインストールファイルを送信する(ステップ3)。端末モジュールは、パスワード認証における端末装置の一連の機能を含み、端末モジュールの各種機能を介して認証サーバと端末装置との間で認証処理が行なわれる。尚、既に端末装置に端末モジュールが設定されている場合、端末モジュールのインストールファイルは送信しない。
ダウンロードされた端末モジュールについてセットアップを行う(ステップ4)。初めに、ユーザは、論理演算に用いる固有コードを設定する。本例では、固有コードとして、認証サーバで生成した24桁の乱数を用いる。ユーザは、端末装置から認証サーバに対して固有コードの生成要求を送信する。認証サーバは、固有コードの生成要求の受信に応じて、乱数発生器を作動させて24桁の乱数を生成して端末装置に送信する。端末装置は、受信した24桁の乱数を固有コードとして保存する。
次に、ユーザは、ユーザパスワードを決定し、自身の頭脳に秘匿的に記憶する。ユーザパスワードは忘れにくいパスワードとすることが望ましい。
次に、認証処理に用いられる認証パスワードを生成する。本例では、論理演算式は以下の論理式に基づく。
[ユーザパスワード+固有コード+アクセス中のWebサイトのドメイン]×ハッシュ演算=ハッシュ値
端末装置は、ユーザパスワード、固有コード、及びアクセス中のサイトのドメインを連結してハッシュ演算を行い、出力されるハッシュ値を認証パスワードとする。論理演算式は種々の演算式を用いることができ、例えばSHA1ハッシュ演算やSHA256ハッシュ演算を用いることができる。また、DES56等の暗号化演算式を用いることもできる。
[ユーザパスワード+固有コード+アクセス中のWebサイトのドメイン]×ハッシュ演算=ハッシュ値
端末装置は、ユーザパスワード、固有コード、及びアクセス中のサイトのドメインを連結してハッシュ演算を行い、出力されるハッシュ値を認証パスワードとする。論理演算式は種々の演算式を用いることができ、例えばSHA1ハッシュ演算やSHA256ハッシュ演算を用いることができる。また、DES56等の暗号化演算式を用いることもできる。
次に、端末装置は、出力された認証パスワードをユーザ識別情報と共にアクセス中の認証サーバにパスワード登録要求として送信する。認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとしてユーザ識別情報と共にデータベースに記憶し、セットアップは完了する。この登録要求は、認証パスワードを登録パスワードとして登録するために必要な情報も含む。尚、登録パスワードは受信した認証パスワードをそのまま利用することができ、或いは受信した認証パスワードについてハッシュ演算を行なってハッシュ値を生成し、ハッシュ値を登録パスワードとしてユーザ識別情報と共にデータベースに記憶してもよい。本例では、受信した認証パスワードから生成したハッシュ値を照合対象とする。このようにすることにより、認証パスワードは、端末装置にも認証サーバにも保存されないことになり、例えハッカが侵入に成功しても、認証パスワードを取り出すことはできない。
続いて、パスワード認証要求の際の認証処理(ステップ5)について説明する。認証要求に当たって、ユーザは、認証の対象となるWebサイトの認証サーバにアクセスする。続いて、ユーザは入力手段を介してユーザパスワードを入力する。ユーザパスワードの入力に伴い、アドレス取得手段を作動させてアクセス中のWebサイトのアドレスを取得する。次に、ユーザパスワード、取得したアドレス、及び固有コードを用いて論理演算を行なって認証パスワードを生成する。続いて、生成された認証パスワードとユーザ識別情報を含む認証要求を生成し、認証要求を認証サーバに送信する。
認証サーバは、受信したパスワード認証要求から認証パスワードを抽出し、ハッシュ演算処理を行なってハッシュ値を出力する。続いて、認証要求に含まれるユーザ識別情報を用いて対応する登録パスワードを検索し、検索された登録パスワード(ハッシュ値)と認証パスワードのハッシュ値との一致性を検証する。一致した場合、有効な認証要求である認定し、ログインを許可する。
図3は、端末装置にインストールされる端末モジュールの機能構成の一例を示す。尚、端末装置の機能のうちユーザ認証に係る部分だけを示す。端末装置は通信手段10を有し、通信手段を介してWebサイトの認証サーバにアクセスする。通信手段は、SSL暗号通信機能を含むブラウザー基本機能を有する。端末装置は例えばキーボードのような入力装置11を有し、ユーザは入力装置を介してユーザパスワードを入力する。入力されたユーザパスワードは演算機能12に供給される。また、ユーザは、入力装置を介してパスワード認証を求めるWebサイトを指定する。サイト指定情報は固有コード記憶機能13に供給される。固有コード記憶機能13は、各Webサイト毎にサイト名と固有コードとを対の関係で記憶する。ユーザによって指定されたWebサイトの固有コードは演算機能12に供給される。
さらに、端末モジュールは、サイト情報管理機能14を有する。サイト情報管理機能14はWebサイトに関する情報を管理する。例えば、認証を求めるWebサイトにアクセスして固有コードを取得し、固有コード記憶機能13に保存する。
演算機能12は、入力したユーザパスワード及び固有コードについてハッシュ演算を行い、その演算結果を認証パスワードとして出力する。出力された認証パスワードは認証・登録・変更要求送信機能15に入力する。ユーザは、入力装置を介して認証パスワードが認証要求、登録要求、又は変更要求のいずれに係るものかを示す指示を認証・登録・変更要求送信機能15に送信する。また、認証パスワードの送信先はサイト情報管理機能14から供給される。例えば、パスワード認証を行う場合、認証・登録・変更要求送信機能15には、入力した認証パスワードはパスワード認証要求にかかるものである旨が指示され、サイト情報管理機能14から送信すべきWebサイトのアドレスが指定される。そして、認証・登録・変更要求送信機能15は、認証パスワード及びユーザ識別情報を含むパスワード認証要求を作成し、通信手段10を介して指定したWebサイトに送信する。
ユーザがユーザパスワードの変更を希望する場合、ユーザは自身のユーザパスワード(変更されていない)又は変更されたユーザパスワードを入力装置に入力する。また、パスワード変更に係るWebサイトを指定し、パスワード変更にかかるWebサイト名を固有コード記憶機能13及びサイト情報管理機能14に供給する。演算機能12は、変更後のユーザパスワードと変更に係るWebサイトの固有コードとを用いて論理演算を行い、変更後の認証パスワードを認証・登録・変更要求送信機能15に出力する。認証・登録・変更要求送信機能は、変更後の認証パスワード及びユーザ識別情報を含むパスワード変更要求を生成して認証サーバに送信する。
図4は認証サーバの機能構成の一例を示す。尚、ユーザ認証に係る構成だけを示す。認証サーバは通信手段20を有する。通信手段20は、SSLサーバ証明書の発行機能及びSSL暗号通信機能を有する。認証サーバは、アカウント管理部21を有し、アカウント管理部21はアカウント登録部21a、パスワード管理部21b及びユーザ情報管理部21cを有する。アカウント登録部21aは、各端末装置に対してユーザ情報を付与すると共にパスワードの初期設定を行う。パスワード管理部21bは、パスワード変更等がされた場合に端末装置から送られたパスワードを保存する。ユーザ情報管理部21cは、ユーザのメールアドレス、電話番号、固有コードの構成情報を含むユーザに関する情報を保存する。
認証サーバは、乱数発生器22を有し、端末装置からの固有コード要求の受信に応じて所定の桁数の乱数を生成し、端末装置に送信する。
認証サーバは、判別手段23を有し、端末装置から送られた要求信号がパスワード登録要求、パスワード認証要求、又はパスワード変更要求のいずれかであるかを判別する。判別手段23は、認証要求等を示す判別情報と、認証パスワード及びユーザ識別情報とをハッシュ演算手段24に供給する。ハッシュ演算手段24は、入力した認証パスワードについてハッシュ演算を行なってハッシュ値を算出する。
パスワード登録要求が入力すると、ハッシュ演算手段によって算出されたハッシュ値は、ユーザ識別情報と共に書込手段25に供給され、書込手段により登録パスワードとしてデータベース26に書き込まれる。
パスワード認証要求が入力すると、ハッシュ演算手段によって算出されたハッシュ値は検証手段27に供給される。また、ユーザ識別情報を用いてデータベース26が検索され、認証要求に含まれるユーザ識別情報により特定されるハッシュ値(登録パスワード)が検索されて検証手段に供給される。検証手段は、2つハッシュ値の一致性を検証する。一致する場合当該パスワード認証要求は正常であると判定される。一致しない場合、エラーとして処理する。
パスワード変更要求が入力した場合、ハッシュ演算手段によって算出されたハッシュ値及びユーザ識別情報はパスワード変更手段28に供給される。パスワード変更手段は、変更要求に含まれるユーザ識別情報を用いてデータベースを検索し、変更要求に含まれるユーザ識別情報により特定されるハッシュ値(登録パスワード)を変更要求にかかるハッシュ値(あらたな認証パスワード)で書き換える。このように、パスワードの変更は、データベースに保存されている登録パスワードを新たな認証パスワードで書き換えるだけで終了する。
上述した認証サーバは現在稼働中のパスワード認証システムが適用される認証サーバとほぼ同様である。従って、現在稼働中のパスワード認証システムに本発明を適用することができる。この場合、データベースに保存されている登録パスワードを変更して新たに設定し直すだけである。すなわち、端末装置に本発明の端末モジュールを設定してセットアップ作業を行う。セットアップ作業が完了した後、ユーザは、ユーザパスワードを決定し、入力手段を介してユーザパスワードを入力し論理演算を行なって認証パスワードを生成する。生成された認証パスワード及びユーザ識別情報を含むパスワード変更要求を生成して認証サーバに送信する。認証パスワード及びユーザ識別情報はハッシュ演算手段に入力する。ハッシュ演算手段によって算出されたハッシュ値及びユーザ識別情報はパスワード変更手段28に供給される。パスワード変更手段は、変更要求に含まれるユーザ識別情報を用いてデータベースを検索し、変更要求に含まれるユーザ識別情報により特定されるハッシュ値を変更要求にかかるハッシュ値で書き換える。これにより、セットアップ作業は終了し、パスワード認証作業を行うことができる。
図5は端末モジュールの変形例を示す図である。本例では、アクセス中のWebサイトのアドレスを取得し、ユーザパスワード、固有コード及びアクセス中のWebサイトのアドレスを用いて論理演算を行う。尚、図3で用いた部材と同一の部材については同一符号を付して説明する。ユーザは、目的とするWebサイトにアクセスする。続いて、ユーザは、入力装置にユーザパスワードを入力する。ユーザパスワードは演算機能12に送られる。ユーザパスワードの入力に応じて、固有コード管理機能部13から指定されたWebサイトの固有コードが演算機能部に送られる。また、アドレス取得機能16が作動し、アクセス中のWebサイトのアドレスを取得する。取得されたアドレスは演算機能12に供給される。演算機能12は、ユーザパスワード、固有コード及びアクセス中のWebサイトのアドレスを用いて論理演算を実行し、その出力を認証パスワードとして認証・登録・変更要求送信機能15に送る。認証・登録・変更要求送信機能は、入力した認証パスワードとユーザ識別情報を含むパスワード認証要求等を作成して認証サーバに送信する。
本発明は上述した実施例だけに限定されず、種々の変形や変更が可能である。例えば、認証パスワードを変更する場合、ユーザパスワードを変更し、変更されたユーザパスワードと固有コードとを用いて論理演算し、その演算結果をユーザ識別情報と共に認証サーバに送信する。そして、データベースのユーザ識別情報による特定される登録パスワードを新たな認証パスワードで書き換える。これによりセットアップ作業が終了する。以後は、新たなユーザパスワードを用いて認証処理行なわれる。
1 ネットワーク
2 端末装置
3 A銀行のサイト
4 B銀行のサイト
5 C証券のサイト
3a〜5a 認証サーバ
6 認証管理サーバ
10,20 通信手段
11 入力装置
12 演算機能
13 固有コード記憶機能
14 サイト情報管理機能
15 認証・登録・変更要求送信機能
16 アドレス取得機能
21
22 乱数発生器
23 判別手段
24 ハッシュ演算手段
25 書込手段
26 データベース
27 検証手段
28 パスワード変更手段
2 端末装置
3 A銀行のサイト
4 B銀行のサイト
5 C証券のサイト
3a〜5a 認証サーバ
6 認証管理サーバ
10,20 通信手段
11 入力装置
12 演算機能
13 固有コード記憶機能
14 サイト情報管理機能
15 認証・登録・変更要求送信機能
16 アドレス取得機能
21
22 乱数発生器
23 判別手段
24 ハッシュ演算手段
25 書込手段
26 データベース
27 検証手段
28 パスワード変更手段
Claims (16)
- Webサイトに設けられ、認証パスワードを用いて本人認証を行う認証サーバと、ユーザが利用する端末装置とを具えるパスワード認証システムにおいて、
前記端末装置は、ユーザパスワードを入力する入力手段と、ユーザ毎に設定された固有コードを記憶した固有コード記憶手段と、ユーザによって入力されたユーザパスワードと前記固有コード記憶手段に記憶した固有コードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、前記認証パスワードとユーザ識別情報を前記Webサイトの認証サーバに送信する手段とを有し、
Webサイトの認証サーバは、端末装置から送られてくるパスワード登録要求に含まれる認証パスワードを認証の基準となる登録パスワードとしてユーザ識別情報と共に記憶するパスワード記憶手段、及び、端末装置から送られてくるパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、前記パスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証する検証手段とを有し、
セットアップに際し、端末装置は、ユーザによって入力されたユーザパスワードと、前記固有コード記憶手段に記憶した固有コードとを用いて論理演算を行なって認証パスワードを生成し、生成された認証パスワードを含むパスワード登録要求を前記Webサイトの認証サーバに送信し、当該認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとしてユーザ識別情報と共に前記パスワード記憶手段に記憶し、
パスワード認証に際し、ユーザは自身のユーザパスワードを端末装置に入力し、前記端末装置は入力されたユーザパスワードと前記固有コード記憶手段に記憶されている固有コードを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード認証要求を前記Webサイトの認証サーバに送信し、
前記認証サーバは、受信したパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信したパスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証することを特徴とするパスワード認証システム。 - 請求項1に記載のパスワード認証システムにおいて、前記固有コード記憶手段には、Webサイト毎に異なる固有コードが記憶され、
パスワード認証に際し、ユーザは自身のユーザパスワードを端末装置に入力すると共に目的とするWebサイトを指定し、端末装置は指定されたWebサイトの固有コードと入力されたユーザパスワードを用いて論理演算し、1つの同一のユーザパスワードを用いてWebサイト毎に異なる認証パスワードを出力することを特徴とするパスワード認証システム。 - 請求項1又は2に記載のパスワード認証システムにおいて、前記論理演算としてハッシュ演算又は暗号化演算を行い、出力されるハッシュ値又は暗号化データを認証パスワードとして用いることを特徴とするパスワード認証システム。
- 請求項1、2又は3に記載のパスワード認証システムにおいて、前記固有コードとして、Webサイトのアドレス情報又はドメイン情報を含むことを特徴とするパスワード認証システム。
- 請求項1、2又は3に記載のパスワード認証システムにおいて、前記固有コードとして、認証サーバからユーザに対して付与されたユーザ情報、又はユーザ自身が設定する固有コードの何れかの組合せを含むことを特徴とするパスワード認証システム。
- 請求項1、2又は3に記載のパスワード認証システムにおいて、前記認証サーバは、固有コードを生成する固有コード生成手段を有し、端末装置からの固有コード生成要求に応じて固有コードを生成して対応する端末装置に送信し、端末装置は、受信した固有コードを前記固有コード記憶手段に記憶することを特徴とするパスワード認証システム。
- 請求項6に記載のパスワード認証システムにおいて、前記認証サーバは、固有コード生成手段として乱数生成器を有し、端末装置からの固有コード生成要求の受信に応じて所定の桁数の乱数を生成し、生成された乱数を端末装置に送信し、
端末装置は、受信した乱数を前記固有コード記憶手段に保存することを特徴とするパスワード認証システム。 - 請求項1から7までのいずれか1項に記載のパスワード認証システムにおいて、前記Webサイトの認証サーバは、登録パスワード記憶手段に記憶されている登録パスワードを新たな認証パスワードで置き換えるパスワード変更手段を有し、
パスワード変更に際し、ユーザは自身のユーザパスワード又は変更されたユーザパスワードを端末装置に入力し、前記端末装置は、ユーザによって入力されたユーザパスワードと、パスワード変更に係る固有コードとを用いて論理演算を行なって認証パスワードを生成し、生成された認証パスワードを含むパスワード変更要求を前記Webサイトの認証サーバに送信し、当該認証サーバのパスワード変更手段は、登録パスワード記憶手段に記憶されている登録パスワードを受信したパスワード変更要求に含まれる認証パスワードで置き換えることを特徴とするパスワード認証システム。 - Webサイトに設けられ、認証パスワードを用いて本人認証を行う認証サーバと、ユーザが利用する端末装置とを具えるパスワード認証システムにおいて、
前記端末装置は、アクセス中のWebサイトのアドレス情報を取得するアドレス取得手段と、ユーザパスワードを入力する入力手段と、ユーザによって入力されたユーザパスワードとアドレス取得手段によって取得されたアドレスとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、前記認証パスワードをユーザ識別情報と共に前記Webサイトの認証サーバに送信する手段とを有し、
前記Webサイトの認証サーバは、認証の基準となる登録パスワードを記憶するパスワード記憶手段と、端末装置から送られてくるパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、前記パスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証する検証手段とを有し、
セットアップに際し、ユーザは目的とするWebサーバにアクセスすると共に自身のユーザパスワードを端末装置に入力し、当該端末装置は、アクセス中のWebサイトのアドレス情報を取得し、取得したWebサイトのアドレス情報とユーザによって入力されたユーザパスワードとを用いて前記論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード登録要求を前記Webサイトの認証サーバに送信し、当該認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとして前記パスワード記憶手段に記憶し、
パスワード認証に際し、ユーザは目的とするWebサーバにアクセスすると共に自身のユーザパスワードを端末装置に入力し、前記端末装置は、アクセス中のWebサイトのアドレスを取得し、取得したWebサイトのアドレスとユーザによって入力されたユーザパスワードとを用いて前記論理演算を行って認証パスワードを生成し、生成された認証パスワードを前記Webサイトの認証サーバに送信し、
認証サーバは、受信したパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信した認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証することを特徴とするパスワード認証システム。 - 請求項9に記載のパスワード認証システムにおいて、前記端末装置は、パスワード認証に際し、フィシング詐欺のWebサイトに対して、前記登録パスワードとは異なる誤ったコード列の認証パスワードを送信することを特徴とするパスワード認証システム。
- 請求項9又は10に記載のパスワード認証システムにおいて、前記端末装置は、さらに、ユーザごとに設定された固有コードを記憶した固有コード記憶手段を有し、前記演算手段は、ユーザによって入力されたユーザパスワードと、前記固有コード記憶手段に記憶した固有コードと、アクセス中のWebサイトのアドレス情報とを用いて論理演算を行なって認証パスワードを出力することを特徴とするパスワード認証システム。
- 請求項9、10又は11に記載のパスワード認証システムにおいて、前記端末装置は、1つのユーザパスワードを用いてWebサイト毎に異なる認証パスワードを出力することを特徴とするパスワード認証システム。
- 請求項9、10又は11に記載のパスワード認証システムにおいて、前記Webサイトのアドレス情報として、WebサイトのURL又はURLの一部或いはWebサイトのドメインを用いることを特徴とするパスワード認証システム。
- 請求項9から12までのいずれか1項に記載のパスワード認証システムにおいて、前記Webサイトの認証サーバは、前記パスワード記憶手段に記憶されている登録パスワードを新たな認証パスワードで置き換えるパスワード変更手段を有し、
パスワード変更に際し、ユーザはパスワードが変更されるWebサイトにアクセスすると共に自身のユーザパスワード又は変更されたユーザパスワードを端末装置に入力し、前記端末装置は、アクセス中のWebサイトのアドレス情報を取得し、取得したWebサイトのアドレス情報とユーザによって入力されたユーザパスワードとを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード変更要求を前記Webサイトの認証サーバに送信し、当該認証サーバのパスワード変更手段は、パスワード記憶手段に記憶され、パスワード変更要求に含まれるユーザ識別情報によって特定される登録パスワードを受信したパスワード変更要求に含まれる認証パスワードで置き換えることを特徴とするパスワード認証システム。 - 認証パスワードを用いて本人認証を行うパスワード認証システムに用いられる端末装置であって、
アクセス中のWebサイトのアドレスを取得するアドレス取得手段と、ユーザパスワードを入力する入力手段と、ユーザによって入力されたユーザパスワードとアドレス取得手段により取得されたWebサイトのアドレスとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、演算手段から出力される認証パスワードとユーザ識別情報を前記Webサイトの認証サーバに送信する手段とを有し、
パスワード認証に際し、当該端末装置は、アクセス中のWebサイトのアドレス情報を取得し、取得したWebサイトのアドレス情報とユーザによって入力されたユーザパスワードとを用いて前記論理演算を行って認証パスワードを生成し、生成された認証パスワードを前記Webサイトの認証サーバに送信し、フィシング詐欺のWebサイトに対して、認証の基準となる登録パスワードとは異なる誤ったコード列の認証パスワードを送信することを特徴とする端末装置。 - 請求項15に記載の端末装置において、さらに、論理演算に用いられる演算コードとして作用する固有コードを記憶した固有コード記憶手段を有し、前記演算手段は、ユーザによって入力されたユーザパスワードと、アクセス中のWebサイトのアドレスと、前記記憶手段に記憶した固有コードとを用いて論理演算することを特徴とする端末装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2021/040418 WO2022107591A1 (ja) | 2020-03-16 | 2021-11-02 | パスワード認証システム |
| US18/020,543 US20230300125A1 (en) | 2020-03-16 | 2021-11-02 | Password authentication system |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020045747 | 2020-03-16 | ||
| JP2020045747 | 2020-03-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6910748B1 true JP6910748B1 (ja) | 2021-07-28 |
| JP2021149930A JP2021149930A (ja) | 2021-09-27 |
Family
ID=76967794
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020192419A Active JP6910748B1 (ja) | 2020-03-16 | 2020-11-19 | パスワード認証システム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230300125A1 (ja) |
| JP (1) | JP6910748B1 (ja) |
| WO (1) | WO2022107591A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7316714B1 (ja) | 2023-02-13 | 2023-07-28 | 株式会社フレアリンク | 認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6910748B1 (ja) * | 2020-03-16 | 2021-07-28 | 木戸 啓介 | パスワード認証システム |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7509495B2 (en) * | 2003-07-10 | 2009-03-24 | Cinnober Financial Technology, Ab | Authentication protocol |
| JP4820928B1 (ja) * | 2011-07-08 | 2011-11-24 | 株式会社野村総合研究所 | 認証システムおよび認証方法 |
| EP2843577A4 (en) * | 2012-04-25 | 2015-11-25 | Rowem Inc | PASSCODE OPERATING SYSTEM, PASSCODE DEVICE AND SUPERPASS CODE GENERATION PROCESS |
| JP6910748B1 (ja) * | 2020-03-16 | 2021-07-28 | 木戸 啓介 | パスワード認証システム |
-
2020
- 2020-11-19 JP JP2020192419A patent/JP6910748B1/ja active Active
-
2021
- 2021-11-02 US US18/020,543 patent/US20230300125A1/en active Pending
- 2021-11-02 WO PCT/JP2021/040418 patent/WO2022107591A1/ja active Application Filing
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7316714B1 (ja) | 2023-02-13 | 2023-07-28 | 株式会社フレアリンク | 認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021149930A (ja) | 2021-09-27 |
| WO2022107591A1 (ja) | 2022-05-27 |
| US20230300125A1 (en) | 2023-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110493202B (zh) | 登录令牌的生成及验证方法、装置和服务器 | |
| US9026788B2 (en) | Managing credentials | |
| US20180144114A1 (en) | Securing Blockchain Transactions Against Cyberattacks | |
| US8041954B2 (en) | Method and system for providing a secure login solution using one-time passwords | |
| US7895432B2 (en) | Method and apparatus for using a third party authentication server | |
| US8640203B2 (en) | Methods and systems for the authentication of a user | |
| CN100459488C (zh) | 便携式一次性动态密码生成器以及使用其的安全认证系统 | |
| JP6498358B2 (ja) | 使い捨て乱数を利用して認証する統合認証システム | |
| CN109787988A (zh) | 一种身份加强认证和鉴权方法及装置 | |
| JP4256361B2 (ja) | 認証管理方法及びシステム | |
| EA034474B1 (ru) | Способ и система для абстрактных и рандомизированных одноразовых паролей для транзакционной аутентификации | |
| WO2022107591A1 (ja) | パスワード認証システム | |
| CN109688133A (zh) | 一种基于免账号登录的通信方法 | |
| US10277405B2 (en) | Method for updating seed data in dynamic token | |
| US9654466B1 (en) | Methods and systems for electronic transactions using dynamic password authentication | |
| JP4350769B2 (ja) | 認証サーバ及びオンラインサービスシステム | |
| US7143440B2 (en) | User authentication system and method | |
| CN105978994A (zh) | 一种面向Web系统的登录方法 | |
| JP2006527880A (ja) | パスワード認証の方法および装置 | |
| WO2010050192A1 (ja) | パスワード再発行方法 | |
| JP4845660B2 (ja) | ログイン処理装置、ログイン処理システム、プログラム、及び記録媒体 | |
| US20100146605A1 (en) | Method and system for providing secure online authentication | |
| CN112632524A (zh) | 一种增强密码安全性的方法及终端 | |
| CA2611549C (en) | Method and system for providing a secure login solution using one-time passwords | |
| KR100877593B1 (ko) | 랜덤하게 맵핑되는 가변 패스워드에 의한 인증 보안 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201203 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20201203 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20210225 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210301 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210422 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210706 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210706 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6910748 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| R371 | Transfer withdrawn |
Free format text: JAPANESE INTERMEDIATE CODE: R371 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |