JP7072852B2 - パスワード類管理装置およびパスワード類管理方法 - Google Patents

パスワード類管理装置およびパスワード類管理方法 Download PDF

Info

Publication number
JP7072852B2
JP7072852B2 JP2018128995A JP2018128995A JP7072852B2 JP 7072852 B2 JP7072852 B2 JP 7072852B2 JP 2018128995 A JP2018128995 A JP 2018128995A JP 2018128995 A JP2018128995 A JP 2018128995A JP 7072852 B2 JP7072852 B2 JP 7072852B2
Authority
JP
Japan
Prior art keywords
passwords
control unit
authentication information
stored
terminal control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018128995A
Other languages
English (en)
Other versions
JP2020009095A (ja
Inventor
康宏 折本
幸男 雨甲斐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Laurel Bank Machine Co Ltd
Original Assignee
Laurel Bank Machine Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Laurel Bank Machine Co Ltd filed Critical Laurel Bank Machine Co Ltd
Priority to JP2018128995A priority Critical patent/JP7072852B2/ja
Publication of JP2020009095A publication Critical patent/JP2020009095A/ja
Application granted granted Critical
Publication of JP7072852B2 publication Critical patent/JP7072852B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、パスワード類管理装置およびパスワード類管理方法に関する。
従来、コンピュータ等の電子機器を使用する際に、正当な利用者であることを認証する仕組みとして、パスワードやパスフレーズ(以下、パスワード類という。)が広く用いられている。しかし、パスワード類が他人に知られてしまうと、不正アクセスによる個人情報や機密情報等の漏えいのおそれがある。
そこで、パスワード類のセキュリティを高める手法の一つとして、パスワードに有効期間を設け、一定期間ごとにパスワードを更新させる仕組みが提案されている(例えば、特許文献1参照)。
また、例えば、大規模システムを構成する多数のデバイスのそれぞれにパスワードを登録する必要がある場合、管理のしやすさから同一パスワードを登録することが行われている(例えば、特許文献2参照)。
特開平7-182064号公報 特開2006-301888号公報
同一パスワードを登録することは、セキュリティが疎かになるケースがある。例えば、情報セキュリティ管理者の意に背き、社員・職員同士が結託してパスワード類を同一にした場合、何らかの手段で他人のIDさえ入手できれば、他人になりすましての電子機器の使用が簡単に可能となってしまう。
本発明は、セキュリティ性を高めることができるパスワード類管理装置およびパスワード類管理方法の提供を目的とする。
上記目的を達成するために、本発明に係る第1の態様は、所定の管理エリアの認証情報を集中管理するパスワード類管理装置であって、管理エリアごとに複数の使用者のパスワード類を記憶する記憶部と、前記記憶部への情報の記憶を制御する制御部と、を備え、前記制御部は、管理エリア内において、設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定期間内に所定の許容限界数記憶されている場合に、当該設定要求されたパスワード類の前記記憶部への記憶を不可にし、前記所定期間を超えて、所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、当該パスワードの有効期間を通常より短く設定しパスワード類を早めに変更させるようにする。
上記第1の態様によれば、制御部は、設定要求されたパスワード類と同一のパスワード類が記憶部に所定数記憶されている場合に、当該設定要求されたパスワード類の記憶部への記憶を不可にするため、同一のパスワード類が所定数を超えて登録されてしまうことを防止できる。よって、セキュリティ性を高めることができる。
上記第の態様によれば、制御部が、設定要求されたパスワード類と同一のパスワード類が記憶部に所定期間内に所定数記憶されている場合に、当該設定要求されたパスワード類の記憶部への記憶を不可にするため、所定期間内に限って、同一のパスワード類が所定数を超えて登録されてしまうことを防止できる。よって、管理期間が長期間にわたることで生じるパスワード類の偶然の一致を制限から除外することができる。
本発明に係る第の態様は、上記第の態様において、前記制御部は、一致率が所定の割合以上の場合に同一のパスワード類とみなす。
上記第の態様によれば、制御部が、一致率が所定の割合以上の場合に同一のパスワード類とみなすため、少しの文字を変える等することで同一パスワードの数量制限を回避する不正を防ぐことができる。
本発明に係る第の態様は、上記第1または2の態様において、前記所定の許容限界数を、使用者の属性毎に設定可能である。
上記第の態様によれば、前記所定数を、使用者の属性毎に設定可能であるため、前記所定数を少ない数に設定することでセキュリティを優先したり、前記所定数を多い数に設定することで、利便性を優先したりすることが可能となる。
本発明に係る第の態様は、所定の管理エリアの認証情報を集中管理するパスワード類管理装置に用いられる方法であって、管理エリアごとに複数の使用者のパスワード類を記憶部に記憶するステップと、管理エリア内において、設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定の許容限界数記憶されているか否かを判定するステップと、前記設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定期間内に所定の許容限界数記憶されている場合に、当該設定要求されたパスワード類の前記記憶部への記憶を不可にするステップと、前記所定期間を超えて、所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、当該パスワードの有効期間を通常より短く設定しパスワード類を早めに変更させるようにするステップと、を含む。
上記第の態様によれば、設定要求されたパスワード類と同一のパスワード類が記憶部に所定数記憶されている場合に、当該設定要求されたパスワード類の記憶部への記憶を不可にするため、同一のパスワード類が所定数を超えて登録されてしまうことを防止できる。よって、セキュリティ性を高めることができる。
本発明によれば、セキュリティ性を高めることができるパスワード類管理装置およびパスワード類管理方法を提供することができる。
本発明に係るパスワード類管理システムの一実施形態である認証情報管理システムを示すブロック図である。 本発明に係るパスワード類管理システムの一実施形態である認証情報管理システムのクライアントPCの制御内容の要部を示すフローチャートである。 本発明に係るパスワード類管理システムの一実施形態である認証情報管理システムの認証サーバの制御内容の要部を示すフローチャートである。
本発明に係る一実施形態を図面を参照して以下に説明する。
本実施形態の認証サーバ10(パスワード類管理装置)は、認証情報管理システム11(パスワード類管理システム)の所定の管理エリア(同一ドメインや認証情報管理システム11のサイトや所属グループごと等)の認証情報を集中管理するものである。この所定の管理エリアには、一台または複数台の端末装置であるクライアントPC12が設けられており、認証サーバ10とクライアントPC12とは、ネットワーク13を介して接続されている。
クライアントPC12は、操作入力を受け付ける入力部21と、表示を行う表示部22と、クライアントPC12を制御する端末制御部23と、ネットワーク13に接続されネットワーク13を介して認証サーバ10と通信を行う端末通信部24とを有している。
認証サーバ10は、ネットワーク13に接続されネットワーク13を介して端末通信部24と通信を行うサーバ通信部31と、サーバ通信部31を介して各クライアントPC12から入力された情報を基に認証情報の設定の可否を判定する等して認証サーバ10を制御するサーバ制御部32(制御部)と、サーバ制御部32が設定可と判定した認証情報等を記憶する記憶部33とを有している。認証情報は、認証サーバ10にネットワーク13を介して接続されたクライアントPC12等の各機器類の使用を許可するために必要な情報であり、記憶部33には、このような認証情報が複数記憶されている。
ここで、認証情報は、各クライアントPC12毎に設定されており、使用者の識別情報であるIDと、IDに関連付けられて設定されるパスワードあるいはパスフレーズ等のパスワード類との組み合わせからなっている。なお、IDは、ユーザIDでもよいし、クライアントPC12の入力部21に設けられたカードリーダで読みとられるICカード等のカードIDや、クライアントPC12の入力部21に設けられたUSB接続部で読みとられるUSBトークンでもよく、被認証対象を一意に識別可能であればよい。1台のクライアントPC12を複数人で共用する場合は、複数のユーザアカウントを作成し、複数のIDおよびパスワード類の組み合わせを設定することで、ユーザ毎に異なる権限(一部の機能を制限する等)で使い分けることができる。
ここでは、具体例として、認証サーバ10で管理される上記の管理エリアに、特定の個人である使用者Aに専用とされて使用者Aの適正な認証情報が入力された場合に使用可能となるクライアントPC12(A)と、特定の個人である使用者Bに専用とされて使用者Bの適正な認証情報が入力された場合に使用可能となるクライアントPC12(B)と、特定の個人である使用者Cに専用とされて使用者Cの適正な認証情報が入力された場合に使用可能となるクライアントPC12(C)と、複数の特定の使用者D、使用者E、使用者F、使用者G、…に対し共用とされて、これら使用者D、使用者E、使用者F、使用者G、…のいずれか一人の適正な認証情報が入力された場合に使用可能となるクライアントPC12(D)とを有する場合を例にとり説明する。
なお、クライアントPC12(A)の各構成には、符号に(A)を付け、クライアントPC12(B)の各構成には、符号に(B)を付け、クライアントPC12(C)の各構成には、符号に(C)を付け、クライアントPC12(D)の各構成には、符号に(D)を付けて区別する。
ここで、上記したように、クライアントPC12(A)は、使用者Aの適正な認証情報が入力された場合に使用可能となり、よって、使用者Aの適正な認証情報は、クライアントPC12(A)の使用権限を有する認証情報となり、他の認証情報は、クライアントPC12(A)の使用権限を有さない認証情報となる。同様に、使用者Bの適正な認証情報は、クライアントPC12(B)の使用権限を有する認証情報となり、使用者Cの適正な認証情報は、クライアントPC12(C)の使用権限を有する認証情報となり、使用者Dの適正な認証情報は、クライアントPC12(D)の使用権限を有する認証情報となる。
認証情報管理システム11において、例えば、クライアントPC12(A)を使用する場合、使用者は、クライアントPC12(A)の表示部22(A)の表示案内に沿って入力部21(A)に入力を行う。すると、端末制御部23(A)は、まず、入力部21(A)への認証情報としてのIDおよびパスワード類の入力を促す表示を表示部22(A)に表示させる。この表示にしたがって入力部21(A)にIDおよびパスワードが入力されると、端末制御部23(A)は、これらのIDおよびパスワードの組み合わせからなる認証情報を、端末制御部23(A)の識別情報とともに、端末通信部24(A)からネットワーク13を介して認証サーバ10のサーバ通信部31に送信する。
端末制御部23(A)から送信されたこの認証情報をサーバ通信部31が受けると、サーバ制御部32は、この認証情報と同一の認証情報が、クライアントPC12(A)の使用権限を有する認証情報として記憶部33に記憶されているか否かを判定する。すなわち、端末制御部23(A)から送信されたIDおよびパスワード類の組み合わせと同一のIDおよびパスワード類の組み合わせが、クライアントPC12(A)の使用権限を有するIDおよびパスワード類の組み合わせとして記憶されているか否かを判定する。
この判定で、端末制御部23(A)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(A)の使用権限を有する認証情報として記憶部33に記憶されていない場合に、サーバ制御部32は、端末制御部23(A)から送信されたこの認証情報が不適正であることを示す情報をサーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する。この情報を端末通信部24(A)が受け付けると、端末制御部23(A)は、IDおよびパスワード類の組み合わせからなる認証情報が不適正である旨の表示を表示部22(A)に表示させて、IDおよびパスワード類の組み合わせからなる認証情報の再入力を待機する。
他方、この判定で、端末制御部23(A)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(A)の使用権限を有する認証情報として記憶部33に記憶されている場合に、サーバ制御部32は、端末制御部23(A)から送信されたこの認証情報が適正であることを示す情報をサーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する。この情報を端末通信部24(A)が受けると、端末制御部23(A)は、クライアントPC12(A)を、ログイン状態とし、ログイン状態で許容される制御メニューの実行が可能な状態とする。
また、例えば、入力部21(B)にIDおよびパスワード類が入力されると、上記と同様に、端末制御部23(B)が、これらIDおよびパスワード類の組み合わせからなる認証情報を認証サーバ10に送信する。すると、認証サーバ10のサーバ制御部32は、端末制御部23(B)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(B)の使用権限を有する認証情報として記憶部33に記憶されているか否かを判定する。
この判定で、端末制御部23(B)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(B)の使用権限を有する認証情報として記憶部33に記憶されていない場合に、サーバ制御部32は、端末制御部23(B)から送信されたこの認証情報が不適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(B)は、認証情報が不適正である旨の表示を表示部22(B)に表示させる。
他方、この判定で、端末制御部23(B)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(B)の使用権限を有する認証情報として記憶部33に記憶されている場合に、サーバ制御部32は、端末制御部23(B)から送信されたこの認証情報が適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(B)は、クライアントPC12(B)を、ログイン状態とし、ログイン状態で許容される制御メニューの実行が可能な状態とする。
また、例えば、入力部21(C)にIDおよびパスワード類が入力されると、上記と同様に、端末制御部23(C)が、これらIDおよびパスワード類の組み合わせからなる認証情報を認証サーバ10に送信する。すると、認証サーバ10のサーバ制御部32は、端末制御部23(C)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(C)の使用権限を有する認証情報として記憶部33に記憶されているか否かを判定する。
この判定で、端末制御部23(C)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(C)の使用権限を有する認証情報として記憶部33に記憶されていない場合に、サーバ制御部32は、端末制御部23(C)から送信されたこの認証情報が不適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(C)は、認証情報が不適正である旨の表示を表示部22(C)に表示させる。
他方、この判定で、端末制御部23(C)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(C)の使用権限を有する認証情報として記憶部33に記憶されている場合に、サーバ制御部32は、端末制御部23(C)から送信されたこの認証情報が適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(C)は、クライアントPC12(C)を、ログイン状態とし、ログイン状態で許容される制御メニューの実行が可能な状態とする。
また、例えば、入力部21(D)にIDおよびパスワード類が入力されると、上記と同様に、端末制御部23(D)が、これらIDおよびパスワード類の組み合わせからなる認証情報を認証サーバ10に送信する。すると、認証サーバ10のサーバ制御部32は、端末制御部23(D)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(D)の使用権限を有する認証情報として記憶部33に記憶されているか否かを判定する。
この判定で、端末制御部23(D)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(D)の使用権限を有する認証情報として記憶部33に記憶されていない場合に、サーバ制御部32は、端末制御部23(D)から送信されたこの認証情報が不適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(D)は、認証情報が不適正である旨の表示を表示部22(D)に表示させる。
他方、この判定で、端末制御部23(D)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(D)の使用権限を有する認証情報として記憶部33に記憶されている場合に、サーバ制御部32は、端末制御部23(D)から送信されたこの認証情報が適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(D)は、クライアントPC12(D)を、ログイン状態とし、ログイン状態で許容される制御メニューの実行が可能な状態とする。
ここで、クライアントPC12(A)の使用権限を有する認証情報として記憶部33に記憶されている認証情報、クライアントPC12(B)の使用権限を有する認証情報として記憶部33に記憶されている認証情報、クライアントPC12(C)の使用権限を有する認証情報として記憶部33に記憶されている認証情報は、それぞれ一つずつであり、クライアントPC12(A)~12(C)は、それぞれ、使用権限を有する一つの認証情報と、入力された認証情報とが一致する場合に、ログイン状態となる。
これに対し、クライアントPC12(D)の使用権限を有する認証情報として記憶部33に記憶されている認証情報は、複数あり、クライアントPC12(D)は、これらのいずれの認証情報が、クライアントPC12(D)に入力された認証情報と一致する場合でも、ログイン状態となる。
以上により、認証情報管理システム11は、認証サーバ10の記憶部33に記憶されているIDおよびパスワード類の認証情報と、クライアントPC12においてユーザにより入力されたIDおよびパスワード類の認証情報とを照合することにより、ユーザの正当性を判断する。認証サーバ10は、ユーザが正当な権限を有する者と認証した場合は、クライアントPC12の使用を許可する。
このような認証情報管理システム11において、個人用のクライアントPC12(A)~12(C)の使用権限を有する認証情報を設定する場合と、共用のクライアントPC12(D)の使用権限を有する認証情報を設定する場合とについて、図2,図3のフローチャートを参照して説明する。
クライアントPC12(A)の使用権限を有する認証情報を新規設定する場合、設定者は、クライアントPC12(A)の表示部22(A)の表示案内に沿って入力部21(A)に認証情報の新規設定開始のための入力を行う。すると、端末制御部23(A)は、認証情報の新規設定処理を開始し、設定希望のIDおよび設定希望のパスワード類の入力部21(A)への設定入力を促す表示を表示部22(A)に表示させる。
この表示にしたがって入力部21(A)に設定希望のIDと設定希望のパスワード類とが入力されると(図2のステップSa1:YES)、端末制御部23(A)は、これら設定希望のIDと設定希望のパスワード類とを含む設定希望の認証情報を、端末制御部23(A)の識別情報と、IDおよびパスワード類の新規設定を要求する新規設定要求情報とともに、端末通信部24(A)、ネットワーク13を介して認証サーバ10のサーバ通信部31に送信する(図2のステップSa2)。
すると、認証サーバ10のサーバ制御部32においては、端末制御部23(A)から新規設定要求情報と設定希望のパスワード類を含む認証情報とを受信することになって(図3のステップSb1:YES)、端末制御部23(A)から新規設定要求情報とともに送信された設定希望の認証情報が、端末制御部23(A)から設定要求された認証情報となり、この認証情報に含まれる設定希望のIDが、端末制御部23(A)から設定要求されたIDとなり、この認証情報に含まれる設定希望のパスワード類が、端末制御部23(A)から設定要求されたパスワード類となる。
そして、サーバ制御部32は、端末制御部23(A)から設定要求された認証情報に含まれる、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている認証情報に含まれるパスワード類の中に、所定の許容限界数(所定数)記憶されているか否かを判定する(図3のステップSb2)。すなわち、サーバ制御部32は、クライアントPC12(A)の入力部21(A)への入力に基づいて設定要求されたパスワード類と同一のパスワード類が記憶部33に所定数記憶されているか否かを判定するステップを行う。ここで、設定要求されたパスワード類との同一が判定される記憶部33に記憶されているパスワード類は、管理エリア内において使用権限が有ることを確認するために記憶部33に記憶されているすべての認証情報のパスワード類である。
この判定で、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、上記の許容限界数記憶されている場合に(図3のステップSb2:YES)、サーバ制御部32は、端末制御部23(A)から設定要求されたパスワード類が不適正であるため、パスワード類の変更を要求することを示す変更要求情報をサーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する(図3のステップSb3)。この変更要求情報を端末通信部24(A)で受けると(図2のステップSa3:YES)、端末制御部23(A)は、設定希望した認証情報に含まれるパスワード類が不適正である旨の表示を表示部22(A)に表示させてパスワード類の再入力を待機する(図2のステップSa1)。
他方、この判定で、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、上記の許容限界数記憶されていない場合に(図3のステップSb2:NO)、サーバ制御部32は、端末制御部23(A)から設定要求された認証情報が適正であるとして、この認証情報に含まれる、端末制御部23(A)から設定要求されたIDと端末制御部23(A)から設定要求されたパスワード類との組み合わせを、クライアントPC12(A)の使用権限を有する認証情報として新規設定して記憶部33に記憶させる(図3のステップSb4)。
それとともに、サーバ制御部32は、端末制御部23(A)から設定要求された認証情報の新規設定が完了した旨の新規設定完了通知情報を、サーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する(図3のステップSb5)。この新規設定完了通知情報を端末通信部24(A)で受けると(図2のステップSa4:YES)、端末制御部23(A)は、クライアントPC12(A)の認証情報の新規設定処理を終了する。なお、パスワード類は、所定の強度設定基準(半角英数記号を含む8桁以上等)を満たすことを設定可能条件にする。
以上により、サーバ制御部32は、新規設定処理において、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が記憶部33に所定の許容限界数記憶されている場合には、端末制御部23(A)から設定要求されたパスワード類が所定の強度設定基準を満たしていても、当該設定要求されたパスワード類の記憶部33への記憶を不可にするステップを行う。
なお、この同一のパスワード類の許容限界数は、複数に設定可能である。このため、複数に設定することで、複数の異なるIDに対して同一のパスワード類を設定することが可能になる。例えば、許容限界数を3つに設定すれば、3つの異なるIDに対して同一のパスワード類を設定して記憶部33に記憶することが可能となる一方、4つの異なるIDに対して同一のパスワード類を設定して記憶部33に記憶することは不可となる。
また、クライアントPC12(A)の使用権限を有する認証情報のパスワード類を更新設定する場合、設定者は、クライアントPC12(A)の表示部22(A)の表示案内に沿って入力部21(A)にパスワード類の更新設定開始のための入力を行う。すると、端末制御部23(A)は、クライアントPC12(A)の使用権限を有する認証情報のパスワード類の更新設定処理を開始し、設定希望のパスワード類の入力部21(A)への設定入力を促す表示を表示部22(A)に表示させる。この表示にしたがって入力部21(A)に設定希望のパスワード類が入力されると(図2のステップSa1:YES)、端末制御部23(A)は、端末制御部23(A)の識別情報と、パスワード類の更新設定を要求する更新設定要求情報とともに、この設定希望のパスワード類を、端末通信部24(A)を介して認証サーバ10のサーバ通信部31に送信する(図2のステップSa2)。
すると、認証サーバ10のサーバ制御部32においては、端末制御部23(A)からこの設定希望のパスワード類を受信することになって(図3のステップSb1:YES)、この設定希望のパスワード類が端末制御部23(A)から設定要求されたパスワード類となる。サーバ制御部32は、端末制御部23(A)から設定要求されたこのパスワード類と同一のパスワード類が、記憶部33に記憶されている上記の管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する(図3のステップSb2)。
この判定で、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、上記の許容限界数記憶されている場合に(図3のステップSb2:YES)、サーバ制御部32は、この端末制御部23(A)から設定要求されたパスワード類が不適正であるため、変更要求情報をサーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する(図3のステップSb3)。この変更要求情報を端末通信部24(A)で受けると(図2のステップSa3:YES)、端末制御部23(A)は、設定希望のパスワード類が不適正である旨の表示を表示部22(A)に表示させてパスワード類の再入力を待機する(図2のステップSa1)。
他方、この判定で、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、上記の許容限界数記憶されていない場合に(図3のステップSb2:NO)、サーバ制御部32は、この端末制御部23(A)から設定要求されたパスワード類が適正であるとして、このパスワード類を、クライアントPC12(A)の使用権限を有する認証情報のパスワード類として更新設定して記憶部33に記憶させる(図3のステップSb4)。
それとともに、サーバ制御部32は、設定要求されたパスワード類の更新設定が完了した旨の更新設定完了通知情報を、サーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する(図3のステップSb5)。この更新設定完了通知情報を端末通信部24(A)で受けると(図2のステップSa4:YES)、端末制御部23(A)は、クライアントPC12(A)の認証情報のパスワード類の更新設定処理を終了する。
以上により、サーバ制御部32は、更新設定処理において、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が記憶部33に所定の許容限界数記憶されている場合に、端末制御部23(A)から設定要求されたパスワード類が所定の強度設定基準を満たしていても、当該設定要求されたパスワード類の記憶部33への記憶を不可にするステップを行う。
クライアントPC12(B)の使用権限を有する認証情報の新規設定処理の際には、上記と同様に、入力部21(B)に設定希望のIDと設定希望のパスワード類とが入力されると、端末制御部23(B)は、端末制御部23(B)の識別情報および新規設定要求情報とともに、これらの設定希望のIDと設定希望のパスワード類とからなる設定希望の認証情報を、認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(B)から設定要求されたこの認証情報に含まれる、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
この判定で、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(B)が、設定希望の認証情報に含まれるパスワード類が不適正である旨の表示を表示部22(B)に表示させてパスワード類の再入力を待機する。
他方、この判定で、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類を含む認証情報を、クライアントPC12(B)の使用権限を有する認証情報として新規設定して記憶部33に記憶させることになり、端末制御部23(B)は、認証情報の新規設定処理を終了する。
また、クライアントPC12(B)の使用権限を有する認証情報のパスワード類の更新設定処理の際には、上記と同様に、入力部21(B)に設定希望のパスワード類が入力されると、端末制御部23(B)は、端末制御部23(B)の識別情報および更新設定要求情報とともに、この設定希望のパスワード類を認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
この判定で、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(B)が、設定希望のパスワード類が不適正である旨の表示を表示部22(B)に表示させてパスワード類の再入力を待機する。
他方、この判定で、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類を、クライアントPC12(B)の使用権限を有する認証情報のパスワード類として更新設定して記憶部33に記憶させることになり、端末制御部23(B)は、パスワード類の更新設定処理を終了する。
クライアントPC12(C)の使用権限を有する認証情報の新規設定処理の際には、上記と同様に、入力部21(C)に設定希望のIDと設定希望のパスワード類とが入力されると、端末制御部23(C)は、端末制御部23(C)の識別情報および新規設定要求情報とともに、これらの設定希望のIDと設定希望のパスワード類とからなる設定希望の認証情報を、認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(C)から設定要求されたこの認証情報に含まれる、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
この判定で、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(C)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(C)が、設定希望の認証情報に含まれるパスワード類が不適正である旨の表示を表示部22(C)に表示させてパスワード類の再入力を待機する。
他方、この判定で、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(C)から設定要求されたパスワード類を含む認証情報を、クライアントPC12(C)の使用権限を有する認証情報として新規設定して記憶部33に記憶させることになり、端末制御部23(C)は、認証情報の新規設定処理を終了する。
また、クライアントPC12(C)の使用権限を有する認証情報のパスワード類の更新設定処理の際には、上記と同様に、入力部21(C)に設定希望のパスワード類が入力されると、端末制御部23(C)は、端末制御部23(C)の識別情報および更新設定要求情報とともに、この設定希望のパスワード類を認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(C)から設定要求されたこのパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
この判定で、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(C)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(C)が、設定希望のパスワード類が不適正である旨の表示を表示部22(C)に表示させてパスワード類の再入力を待機する。
他方、この判定で、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(C)から設定要求されたパスワード類を、クライアントPC12(C)の使用権限を有する認証情報のパスワード類として更新設定して記憶部33に記憶させることになり、端末制御部23(C)は、パスワード類の更新設定処理を終了する。
クライアントPC12(D)の使用権限を有する認証情報の新規設定処理の際には、上記と同様に、入力部21(D)に設定希望のIDと設定希望のパスワード類とが入力されると、端末制御部23(D)は、端末制御部23(D)の識別情報および新規設定要求情報とともに、これらの設定希望のIDと設定希望のパスワード類とからなる設定希望の認証情報を、認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(D)から設定要求されたこの認証情報に含まれる、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
この判定で、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(D)が、設定希望の認証情報に含まれるパスワード類が不適正である旨の表示を表示部22(D)に表示させてパスワード類の再入力を待機する。
他方、この判定で、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類を含む認証情報を、クライアントPC12(D)の使用権限を有する認証情報として新規設定して記憶部33に記憶させることになり、端末制御部23(D)は、認証情報の新規設定処理を終了する。
また、クライアントPC12(D)の使用権限を有する認証情報のパスワード類の更新設定処理の際には、上記と同様に、入力部21(D)に設定希望のパスワード類が入力されると、端末制御部23(D)は、端末制御部23(D)の識別情報および更新設定要求情報とともに、この設定希望のパスワード類を認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
この判定で、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類が不適正であるため変更要求情報を送信し、これを受けた端末制御部23(D)が、設定希望のパスワード類が不適正である旨の表示を表示部22(D)に表示させてパスワード類の再入力を待機する。
他方、この判定で、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類を、クライアントPC12(D)の使用権限を有する認証情報のパスワード類として更新設定して記憶部33に記憶させることになり、端末制御部23(D)は、パスワード類の更新設定処理を終了する。
クライアントPC12(A)の使用権限を有する認証情報として新規設定あるいは更新設定されて記憶部33に記憶される認証情報、クライアントPC12(B)の使用権限を有する認証情報として新規設定あるいは更新設定されて記憶部33に記憶される認証情報、クライアントPC12(C)の使用権限を有する認証情報として新規設定あるいは更新設定されて記憶部33に記憶される認証情報は、それぞれ一つずつである。
これに対し、クライアントPC12(D)の使用権限を有する認証情報として新規設定あるいは更新設定されて記憶部33に記憶される認証情報は、複数の設定が可能となっている。
以上に述べた実施形態によれば、サーバ制御部32は、パスワード類の設定要求があったときに、設定要求されたパスワード類と同一のパスワード類が記憶部33に所定の許容限界数記憶されていなければ、当該設定要求されたパスワード類が所定の強度設定基準を満たしていることを条件に、当該設定要求されたパスワード類を記憶部33へ記憶する。他方で、サーバ制御部32は、パスワード類の設定要求があったときに、設定要求されたパスワード類と同一のパスワード類が記憶部33に所定の許容限界数記憶されている場合に、当該設定要求されたパスワード類が所定の強度設定基準を満たしていても、当該設定要求されたパスワード類の記憶部33への記憶を不可にする。このため、同一のパスワード類を含む認証情報が所定の許容限界数を超えて登録されてしまうことを防止できる。これにより、セキュリティが疎かになることを抑制できる。すなわち、例えば、異なる社員・職員同士がパスワード類を同一にしようとしても、所定の許容限界数を超える社員・職員がパスワード類を同一にすることを防止できる。よって、他人になりすましてのクライアントPC12等の電子機器の使用を含む管理エリア内での不正なログインを抑制することができる。例えば、ユーザ毎に異なる権限を付与して共用の端末装置を使い分けている場合には、制限されている機能の実行やファイルへのアクセスを防止することができる。したがって、パスワード類の有効性を高めることができ、セキュリティ性を高めることができる。
例えば、使用許可者本人がログイン後に席を外して異なるIDでパスワードロックされたクライアントPC12に対しても、同一パスワード類を知る他人が、使用許可者本人になりすましてログインできてしまうケースを減らすことができる。また、クライアントPC12に対する使用許可者本人のICカードを他人が入手したとしても、同一パスワード類を知るこの他人が、使用許可者本人になりすましてログインできてしまうケースを減らすことができる。認証情報管理システム11における認証サーバ10の管理エリア内でのこれらのような不正利用を防止することができる。
また、所定の許容限界数として、2つ、3つ等の複数を設定可能であるため、複数の管理者等、限られた小グループでのパスワード類の共用は可能となる。よって、使い勝手性の低下を抑制することができる。
なお、以上の実施形態を、以下の変形例1,2のように変更することも可能である。
[変形例1]
認証サーバ10の管理エリアにおいて、一定期間内(1時間~1カ月など期間を管理者が任意に指定)に、所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、当該パスワード等の設定を禁止する。一定期間を超えている場合は、ユーザが示し合わせたのではなく偶然に同じパスワードを設定したものとみなし、当該パスワードの設定を許可する。すなわち、サーバ制御部32は、設定要求されたパスワード類と同一のパスワード類が記憶部33に、設定要求があった時点を基準として遡る所定期間内に所定の許容限界数記憶されている場合に、当該設定要求されたパスワード類の記憶部33への記憶を不可にする。他方、サーバ制御部32は、設定要求されたパスワード類と同一のパスワード類が記憶部33に、設定要求があった時点を基準とする所定期間内に所定の許容限界数記憶されていなければ、当該設定要求されたパスワード類を記憶部33へ記憶する。このように、所定期間内に限って、同一のパスワード類が所定数を超えて登録されてしまうことを防止できるため、管理期間が長期間にわたることで生じるパスワード類の偶然の一致を制限から除外することができる。
[変形例2]
パスワード類の一致率を算出し、一致率が一定割合以上の場合は同一パスワード類とみなす。例えば、「password01」と「password02」と等、10文字中の9文字が同じの場合、同一パスワード類とみなす。これにより、例えば、最後の一文字を変える等することで同一パスワード類の数量制限を回避する不正を防ぐことができる。すなわち、サーバ制御部32は、一致率が、100%未満に設定される所定の割合以上の場合に同一のパスワード類とみなす一方、一致率がこの所定の割合未満の場合に異なるパスワード類とみなすため、少しの文字を変える等することで同一パスワードの数量制限を回避する不正を防ぐことができる。この変形例2は、変形例1に対しても適用可能である。
[変形例3]
また、認証サーバ10の管理エリアにおいて、所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、当該パスワードの有効期間を通常より短く設定しパスワード類を早めに変更させるようにする。通常より短期間にパスワードを変更させることでセキュリティを高めることができる。この変形例3は、変形例2に対しても適用可能である。
[変形例4]
ユーザの属性(ランク等)に応じて、所定の許容限界数を設定するようにしてもよい。例えば、管理者のように強い権限を持つ場合は、所定の許容限界数を1に設定することでセキュリティを優先し、一般ユーザやゲストユーザの場合は、所定の許容限界数を比較的緩やかに設定することで、利便性を優先することが可能となる。すなわち、所定の許容限界数を使用者の属性毎に設定可能であるため、所定の許容限界数を少ない数に設定することでセキュリティを優先したり、所定の許容限界数を多い数に設定することで、利便性を優先したりすることが可能となる。
10 認証サーバ(パスワード類管理装置)
11 認証情報管理システム(パスワード類管理システム)
12 クライアントPC(端末装置)
13 ネットワーク
21 入力部
32 サーバ制御部(制御部)
33 記憶部

Claims (4)

  1. 所定の管理エリアの認証情報を集中管理するパスワード類管理装置であって、
    管理エリアごとに複数の使用者のパスワード類を記憶する記憶部と、
    前記記憶部への情報の記憶を制御する制御部と、
    を備え、
    前記制御部は、
    管理エリア内において、
    設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定期間内に所定の許容限界数記憶されている場合に、
    当該設定要求されたパスワード類の前記記憶部への記憶を不可にし、
    前記所定期間を超えて、
    所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、
    当該パスワードの有効期間を通常より短く設定しパスワード類を早めに変更させるようにする
    パスワード類管理装置。
  2. 前記制御部は、
    一致率が所定の割合以上の場合に同一のパスワード類とみなす
    請求項記載のパスワード類管理装置。
  3. 前記所定の許容限界数を、
    使用者の属性毎に設定可能である
    請求項1または2記載のパスワード類管理装置。
  4. 所定の管理エリアの認証情報を集中管理するパスワード類管理装置に用いられる方法であって、
    管理エリアごとに複数の使用者のパスワード類を記憶部に記憶するステップと、
    管理エリア内において、設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定の許容限界数記憶されているか否かを判定するステップと、
    前記設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定期間内に所定の許容限界数記憶されている場合に、当該設定要求されたパスワード類の前記記憶部への記憶を不可にするステップと、
    前記所定期間を超えて、
    所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、
    当該パスワードの有効期間を通常より短く設定しパスワード類を早めに変更させるようにするステップと、
    を含むパスワード類管理方法。
JP2018128995A 2018-07-06 2018-07-06 パスワード類管理装置およびパスワード類管理方法 Active JP7072852B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018128995A JP7072852B2 (ja) 2018-07-06 2018-07-06 パスワード類管理装置およびパスワード類管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018128995A JP7072852B2 (ja) 2018-07-06 2018-07-06 パスワード類管理装置およびパスワード類管理方法

Publications (2)

Publication Number Publication Date
JP2020009095A JP2020009095A (ja) 2020-01-16
JP7072852B2 true JP7072852B2 (ja) 2022-05-23

Family

ID=69151704

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018128995A Active JP7072852B2 (ja) 2018-07-06 2018-07-06 パスワード類管理装置およびパスワード類管理方法

Country Status (1)

Country Link
JP (1) JP7072852B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004280189A (ja) 2003-03-12 2004-10-07 Hitachi Information Systems Ltd パスワード管理システム及びパスワード管理サーバ及びパスワード管理プログラム
JP2006133837A (ja) 2004-11-02 2006-05-25 Mitsubishi Electric Information Systems Corp パスワード管理装置及びプログラム
JP2008225926A (ja) 2007-03-13 2008-09-25 Rakuten Inc コピー機を利用した広告システム
JP2011516952A (ja) 2008-04-04 2011-05-26 インターナショナル・ビジネス・マシーンズ・コーポレーション サーバを操作する方法、サーバ自体、ならびに該サーバを操作するコンピュータ・プログラム製品及びコンピュータ・プログラムにおける期限切れパスワードの処理(期限切れパスワードの処理)

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004280189A (ja) 2003-03-12 2004-10-07 Hitachi Information Systems Ltd パスワード管理システム及びパスワード管理サーバ及びパスワード管理プログラム
JP2006133837A (ja) 2004-11-02 2006-05-25 Mitsubishi Electric Information Systems Corp パスワード管理装置及びプログラム
JP2008225926A (ja) 2007-03-13 2008-09-25 Rakuten Inc コピー機を利用した広告システム
JP2011516952A (ja) 2008-04-04 2011-05-26 インターナショナル・ビジネス・マシーンズ・コーポレーション サーバを操作する方法、サーバ自体、ならびに該サーバを操作するコンピュータ・プログラム製品及びコンピュータ・プログラムにおける期限切れパスワードの処理(期限切れパスワードの処理)

Also Published As

Publication number Publication date
JP2020009095A (ja) 2020-01-16

Similar Documents

Publication Publication Date Title
US8336091B2 (en) Multi-level authentication
US10135812B2 (en) Authenticating system, information processing device, authenticating method and non-transitory computer readable recording medium
JP6245949B2 (ja) 認可サーバーシステム、その制御方法、およびそのプログラム。
US20140230020A1 (en) Authorization server and client apparatus, server cooperative system, and token management method
CN103827811A (zh) 管理基本输入/输出系统(bios)的访问
JP7547603B2 (ja) クラウドプリントサービスに対応した印刷装置および印刷装置の制御方法およびプログラム
EP3374852B1 (en) Authorized areas of authentication
US10110578B1 (en) Source-inclusive credential verification
CN103039050A (zh) 用于在计算机网络中管理对被保护资源的访问以及委托授权的方法
EP1650926A2 (en) Automatically granting root access to administrators, without requiring the root password
US10318725B2 (en) Systems and methods to enable automatic password management in a proximity based authentication
US20100180324A1 (en) Method for protecting passwords using patterns
JP7543150B2 (ja) 多要素認証機能を備えた画像形成装置
WO2017208305A1 (ja) サーバ装置、サービス方法、プログラム、ならびに、非一時的なコンピュータ読取可能な情報記録媒体
US11258607B2 (en) Cryptographic access to bios
JP7180221B2 (ja) 情報処理装置、情報処理システムおよびプログラム
JP7072852B2 (ja) パスワード類管理装置およびパスワード類管理方法
JP5177505B2 (ja) シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ
CN105991656B (zh) 提供安全的供应商服务访问的方法和装置
US10846414B2 (en) Information processing system, information processing method, and non-transitory computer readable medium
CA2974861A1 (en) Method for managing authorizations in an arrangement having multiple computing systems
US12081673B2 (en) User authentication system, user authentication server, and user authentication method
JP2022114837A (ja) 多要素認証機能を備えた画像形成装置
JP5328828B2 (ja) パスワード管理装置、パスワード管理方法、及びパスワード管理システム
KR101293178B1 (ko) 쿠키 포맷 인증 정보를 이용한 보안 접속 시스템 및 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201014

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210804

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210810

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211005

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211116

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220419

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220428

R150 Certificate of patent or registration of utility model

Ref document number: 7072852

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150