JP7316714B1 - 認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム - Google Patents
認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム Download PDFInfo
- Publication number
- JP7316714B1 JP7316714B1 JP2023020038A JP2023020038A JP7316714B1 JP 7316714 B1 JP7316714 B1 JP 7316714B1 JP 2023020038 A JP2023020038 A JP 2023020038A JP 2023020038 A JP2023020038 A JP 2023020038A JP 7316714 B1 JP7316714 B1 JP 7316714B1
- Authority
- JP
- Japan
- Prior art keywords
- authentication information
- authentication
- unit
- user terminal
- return value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 62
- 238000006243 chemical reaction Methods 0.000 claims abstract description 52
- 238000004364 calculation method Methods 0.000 claims abstract description 32
- 230000002427 irreversible effect Effects 0.000 claims abstract description 13
- 238000012790 confirmation Methods 0.000 claims description 64
- 230000008569 process Effects 0.000 claims description 56
- 238000012545 processing Methods 0.000 claims description 39
- 230000006870 function Effects 0.000 claims description 35
- 230000000694 effects Effects 0.000 claims description 22
- 238000010586 diagram Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 230000004044 response Effects 0.000 description 8
- 230000007704 transition Effects 0.000 description 6
- 238000012795 verification Methods 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 4
- 235000014510 cooky Nutrition 0.000 description 4
- 238000003384 imaging method Methods 0.000 description 2
- 235000002566 Capsicum Nutrition 0.000 description 1
- 235000015429 Mirabilis expansa Nutrition 0.000 description 1
- 244000294411 Mirabilis expansa Species 0.000 description 1
- 239000006002 Pepper Substances 0.000 description 1
- 235000016761 Piper aduncum Nutrition 0.000 description 1
- 235000017804 Piper guineense Nutrition 0.000 description 1
- 244000203593 Piper nigrum Species 0.000 description 1
- 235000008184 Piper nigrum Nutrition 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000004397 blinking Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 235000013536 miso Nutrition 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 150000003839 salts Chemical class 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】管理ツールを提供する事業者の悪意や当該管理ツールからの情報漏洩にかかわらず、認証対象において認証を受けるための認証情報が第三者に取得あるいは把握されてしまうことを防ぐ。【解決手段】管理ツール3に格納される第一認証情報、及び認証対象4においてユーザの認証に用いられる第二認証情報を生成する認証情報生成装置1であって、第一認証情報を生成する第一認証情報生成部16と、所定の引数に基づき、所定の不可逆関数による戻り値を算出する算出部15と、算出部15に対し、秘密鍵と第一認証情報生成部16により生成された第一認証情報を引数とした戻り値を算出させ、当該戻り値からなる第二認証情報を生成する第二認証情報生成部17と、算出部15に対し、秘密鍵と第一認証情報を引数とした戻り値を算出させ、第一認証情報を当該戻り値からなる第二認証情報に変換する変換部18とを有する認証情報生成装置1。【選択図】図1
Description
本発明は、認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システムに関する。
従来、ウェブサイト等ではユーザの本人認証用のIDやパスワード(認証情報)をユーザに発行し、本人認証を経て当該ユーザに特定の機能や権限を使用させている。この本人認証に用いられるパスワードは、リスク管理の観点ではウェブサイト等ごとに異なるものを用いることが好ましいが、そうするとウェブサイト等ごとにパスワードを把握しておく必要が生じ、パスワードを忘れて不便な思いをしかねない。また、リスク管理の観点からすれば、パスワードは容易に覚えられるようなものではないほうがよく、そうするとやはり、パスワードを忘れてしまう可能性が高くなる。
この点、特許文献1には、認証パスワードを用いて本人認証を行う認証サーバを有するWebサイトと、ユーザが利用する端末装置とを具えるパスワード認証システムであって、セットアップに際し、端末装置は、ユーザによって入力されたユーザパスワードと、記憶手段に記憶した固有コードとを用いて論理演算を行なって認証パスワードを生成し、生成された認証パスワードを含むパスワード登録要求を前記Webサイトの認証サーバに送信し、当該認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとしてユーザ識別情報と共に前記パスワード記憶手段に記憶し、パスワード認証に際し、ユーザは、目的とするWebサイトを指定すると共に自身のユーザパスワードを端末装置に入力し、前記端末装置は、前記記憶手段に記憶した固有コードと入力されたユーザパスワードとを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード認証要求を前記Webサイトの認証サーバに送信し、前記認証サーバは、受信した認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信した認証要求に対応するユーザ識別情報により特定される登録パスワードとの一致性を検証するパスワード認証システムが開示されている。
しかしながら、特許文献1記載のシステムでは、ユーザが用いる端末装置において、認証パスワードの生成に用いる固有コードが記憶されると共に、認証パスワードの生成が実行されるため、端末装置から情報が漏洩してしまうと、認証パスワードが把握されてしまう可能性高い。即ち、ユーザパスワードは少数桁であるために推認されやすいし、端末装置の情報がわかれば認証パスワードの演算アルゴリズムを把握されてしまう可能性がある。また、ユーザパスワードが端末装置のキャッシュメモリに残ったままになっていて、取得されてしまうリスクもあるし、認証対象のWebサイトと固有コードが関連付けられているために、情報が漏洩すると、固有コードがどのWebサイトのためのものかが把握され、安全性が損なわれるおそれが大きい。
ところで、認証情報の管理においては、パスワード管理ソフトとも称される管理ツールが広く提供されており、当該管理ツールを用いることで、ユーザが使用する認証情報を一元管理できる。しかしながら、このような管理体制は、管理ツールを提供する事業者に悪意がないこと、また管理ツールからの情報漏洩が発生しないことを前提として成り立つものである。
本発明は、上述した課題に鑑みたものであり、管理ツールを提供する事業者の悪意や当該管理ツールからの情報漏洩にかかわらず、認証対象において認証を受けるための認証情報が第三者に取得あるいは把握されてしまうことを防ぎ、安全に認証情報を使用できるようにすることを目的の一つとする。
上記目的を達成するため、本発明の一の観点に係る認証情報生成装置は、管理ツールに格納される第一認証情報、及び認証対象においてユーザの認証に用いられる第二認証情報を生成する認証情報生成装置であって、前記ユーザが使用するユーザ端末と通信可能に構成され、前記ユーザ端末から、秘密鍵の入力を受け付ける第一の受付部と、前記第一認証情報を生成する第一認証情報生成部と、所定の引数に基づき、所定の不可逆関数による戻り値を算出する算出部と、前記算出部に対し、前記秘密鍵と前記第一認証情報生成部により生成された前記第一認証情報を引数とした戻り値を算出させ、当該戻り値からなる前記第二認証情報を生成する第二認証情報生成部と、前記ユーザ端末から、前記第一認証情報の入力と共に、前記管理ツールから取得された前記第一認証情報を前記第二認証情報に変換する変換要求を受け付ける第二の受付部と、前記算出部に対し、前記秘密鍵と前記第二の受付部により受け付けた前記第一認証情報を引数とした戻り値を算出させ、前記第一認証情報を当該戻り値からなる前記第二認証情報に変換する変換部と、前記ユーザ端末に対し、前記第一認証情報を変換して得られた前記第二認証情報を提供する提供部と、を有する。
前記秘密鍵を引数とした所定の関数による戻り値を算出すると共に、当該戻り値の一部又は全部からなる確認情報を生成する確認情報生成部と、前記確認情報の表示において、所定の分類規則に基づいた識別効果を付与する識別効果付与部と、をさらに有するものとしてもよい。
前記ユーザ端末から、所定の文字数の指定と共に、前記第二認証情報の生成の指示を受け付ける第三の受付部、をさらに有し、前記第二認証情報生成部は、前記算出部に対し、前記所定の文字数で構成された戻り値を算出させ、当該戻り値からなる前記第二認証情報を生成するものとしてもよい。
前記ユーザ端末から、第二認証情報に付加する文字列の入力を受け付ける第四の受付部、をさらに有し、前記第二認証情報生成部は、前記所定の文字数で構成された戻り値について、前記文字列の字数分を削除して当該字数分を前記文字列に置き換えた前記第二認証情報を生成するものとしてもよい。
前記ユーザ端末から受け付けた前記秘密鍵を情報記憶部に設定する設定部、をさらに有し、前記第二認証情報生成部及び前記変換部は、前記第二認証情報の生成又は変換の処理において、前記情報記憶部を参照して前記秘密鍵を抽出するものとしてもよい。
前記認証情報生成装置は、シングルページアプリケーションとして提供され、前記情報記憶部は、ユーザ端末が備えるブラウザ内のメモリ領域に構築されるものとしてもよい。
前記第一認証情報生成部は、所定のシード値に基づいて乱数を発生させ、当該乱数からなる前記第一認証情報を生成するものとしてもよい。
本発明の別の観点に係る認証情報生成方法は、管理ツールに格納される第一認証情報、及び認証対象においてユーザの認証に用いられる第二認証情報を生成する認証情報生成方法であって、前記ユーザが使用するユーザ端末と通信可能に構成されたコンピュータにより、前記ユーザ端末から、秘密鍵の入力を受け付ける第一の受付処理と、前記第一認証情報を生成する第一認証情報生成処理と、所定の引数に基づき、所定の不可逆関数による戻り値を算出する算出処理と、前記算出処理により、前記秘密鍵と前記第一認証情報生成処理により生成された前記第一認証情報を引数とした戻り値を算出し、当該戻り値からなる前記第二認証情報を生成する第二認証情報生成処理と、前記ユーザ端末から、前記第一認証情報の入力と共に、前記管理ツールから取得された前記第一認証情報を前記第二認証情報に変換する変換要求を受け付ける第二の受付処理と、前記算出処理により、前記秘密鍵と前記第二の受付処理により受け付けた前記第一認証情報を引数とした戻り値を算出し、前記第一認証情報を当該戻り値からなる前記第二認証情報に変換する変換処理と、前記ユーザ端末に対し、前記第一認証情報を変換して得られた前記第二認証情報を提供する提供処理と、を実行する。
本発明の別の観点に係る認証情報生成プログラムは、管理ツールに格納される第一認証情報、及び認証対象においてユーザの認証に用いられる第二認証情報を生成するための認証情報生成プログラムであって、前記ユーザが使用するユーザ端末と通信可能に構成されたコンピュータに対し、前記ユーザ端末から、秘密鍵の入力を受け付ける第一の受付処理と、前記第一認証情報を生成する第一認証情報生成処理と、所定の引数に基づき、所定の不可逆関数による戻り値を算出する算出処理と、前記算出処理により、前記秘密鍵と前記第一認証情報生成処理により生成された前記第一認証情報を引数とした戻り値を算出し、当該戻り値からなる前記第二認証情報を生成する第二認証情報生成処理と、前記ユーザ端末から、前記第一認証情報の入力と共に、前記管理ツールから取得された前記第一認証情報を前記第二認証情報に変換する変換要求を受け付ける第二の受付処理と、前記算出処理により、前記秘密鍵と前記第二の受付処理により受け付けた前記第一認証情報を引数とした戻り値を算出し、前記第一認証情報を当該戻り値からなる前記第二認証情報に変換する変換処理と、前記ユーザ端末に対し、前記第一認証情報を変換して得られた前記第二認証情報を提供する提供処理と、を実行させる。
本発明の別の観点に係る認証情報生成システムは、管理ツールに格納される第一認証情報、及び認証対象においてユーザの認証に用いられる第二認証情報を生成するシステムであって、認証情報生成装置と管理ツールからなると共に、前記ユーザが使用するユーザ端末と通信可能に構成され、前記認証情報生成装置は、前記ユーザ端末から秘密鍵の入力を受け付ける第一の受付部と、第一認証情報を生成する第一認証情報生成部と、所定の引数に基づき、所定の不可逆関数による戻り値を算出する算出部と、前記算出部に対し、前記秘密鍵と前記第一認証情報生成部により生成された前記第一認証情報を引数とした戻り値を算出させ、当該戻り値からなる第二認証情報を生成する第二認証情報生成部と、前記ユーザ端末から、前記管理ツールに登録されている前記第一認証情報の入力と共に、前記第一認証情報を前記第二認証情報に変換する変換要求を受け付ける第二の受付部と、前記算出部に対し、前記秘密鍵と前記第二の受付部により受け付けた前記第一認証情報を引数とした戻り値を算出させ、前記第一認証情報を当該戻り値からなる前記第二認証情報に変換する変換部と、前記ユーザ端末に対し、前記変換部によって前記第一認証情報から変換された前記第二認証情報を提供する第二認証情報提供部と、を有し、前記管理ツールは、前記第一認証情報を所定の情報記憶部に登録する登録部と、前記ユーザ端末に対し、前記所定の情報記憶部を参照して、前記第一認証情報を提供する第一認証情報提供部と、を有する。
なお、コンピュータプログラムは、各種のデータ読取可能な記録媒体に格納して提供したり、インターネット等のネットワークを介してダウンロード可能に提供したりすることができる。
本発明によれば、管理ツールを提供する事業者の悪意や当該管理ツールからの情報漏洩にかかわらず、認証対象において認証を受けるための認証情報が第三者に取得あるいは把握されてしまうことを防ぎ、安全に認証情報を使用できる。
●構成の概要
以下、本発明の実施形態にかかる認証情報生成装置1について、図を参照して説明する。
図1に示されるように、本実施形態では、認証情報生成装置1、ユーザ端末2、管理ツール3及び認証対象4がインターネット等のネットワークNWを介して通信可能に構成されている。また、認証情報生成装置1と管理ツール3は、本実施形態に係る認証情報生成システム10を構成する。
以下、本発明の実施形態にかかる認証情報生成装置1について、図を参照して説明する。
図1に示されるように、本実施形態では、認証情報生成装置1、ユーザ端末2、管理ツール3及び認証対象4がインターネット等のネットワークNWを介して通信可能に構成されている。また、認証情報生成装置1と管理ツール3は、本実施形態に係る認証情報生成システム10を構成する。
認証情報生成装置1は、所定の認証情報を生成する装置であって、当該認証情報は、ユーザが所定のウェブサイトやソフトウェアといった認証対象4において認証を受けるのに必要とされる。
本実施形態においては、認証情報生成装置1は、第一認証情報と第二認証情報という二つの認証情報を生成する。第一認証情報は、第二認証情報を生成するために必要となる情報であって、認証情報生成装置1によって生成された後は管理ツール3に格納される。第二認証情報は、第一認証情報と後述する秘密鍵によって生成される情報であって、ユーザが認証対象4において認証を受ける場合に用いられる。
なお、認証情報生成装置1は、同じ第一認証情報と秘密鍵の組み合わせに基づき、所定のアルゴリズムによって常に同じ第二認証情報を生成することができる。
本実施形態においては、認証情報生成装置1は、第一認証情報と第二認証情報という二つの認証情報を生成する。第一認証情報は、第二認証情報を生成するために必要となる情報であって、認証情報生成装置1によって生成された後は管理ツール3に格納される。第二認証情報は、第一認証情報と後述する秘密鍵によって生成される情報であって、ユーザが認証対象4において認証を受ける場合に用いられる。
なお、認証情報生成装置1は、同じ第一認証情報と秘密鍵の組み合わせに基づき、所定のアルゴリズムによって常に同じ第二認証情報を生成することができる。
ユーザ端末2は、認証情報生成装置1を利用するユーザが使用する端末であって、ユーザは当該ユーザ端末2を介して認証情報生成装置1の機能提供を受ける。
管理ツール3は、所定のウェブサイトやソフトウェアにおいてユーザの認証に必要な情報を管理するソフトウェア(Saas等、オンライン形式で提供されるものであってもよい)であり、一般的にはパスワード管理ソフトと称されることもある。
なお、管理ツール3が管理する情報には、パスワード(本実施形態でいうところの認証情報)のほかにIDなども含まれるほか、ユーザの住所や電話番号といった基本情報が含まれることもある。
なお、管理ツール3が管理する情報には、パスワード(本実施形態でいうところの認証情報)のほかにIDなども含まれるほか、ユーザの住所や電話番号といった基本情報が含まれることもある。
認証対象4とは、ユーザが認証を受ける対象であって、例えば所定のウェブサイトやソフトウェアである。認証対象4では、ユーザに対してログインに必要なIDやパスワード(本実施形態でいうところの第二認証情報)の入力を求め、これに応じて入力された情報に基づいてユーザを認証する。認証処理の結果、認証に成功した場合には、ユーザは特定の機能や権限を使用することが可能となる。
このような構成において、認証情報生成装置1で生成された認証情報のうち、第一認証情報は管理ツール3に登録され、第二認証情報は認証対象4においてユーザが認証を受けるための情報として用いられる。
ユーザが所定の認証対象4において認証を受ける場合には、ユーザは、当該所定の認証対象4における認証のために生成された第一認証情報を管理ツール3から取得する。そして、認証情報生成装置1により当該第一認証情報を第二認証情報に変換し、得られた第二認証情報を当該所定の認証対象4における認証に用いる。
ユーザが所定の認証対象4において認証を受ける場合には、ユーザは、当該所定の認証対象4における認証のために生成された第一認証情報を管理ツール3から取得する。そして、認証情報生成装置1により当該第一認証情報を第二認証情報に変換し、得られた第二認証情報を当該所定の認証対象4における認証に用いる。
●認証情報生成装置1
認証情報生成装置1は、ユーザからの要求に従い、上述した第一認証情報と第二認証情報という二つの認証情報を生成したり、当該第一認証情報を第二認証情報に変換したりする装置である。
なお、認証情報生成装置1が生成する第二認証情報は、所定のウェブサイトやソフトウェアといった認証対象4において、ユーザが特定の機能や権限を使用する際に必要な情報を構成する。通常、このような情報は、所謂IDとパスワードによって構成されるが、本実施形態において第二認証情報はパスワードと同義である。
また、基本的な態様として、認証情報は英字(大文字、小文字も区別される)、数字、記号のいずれか、またはこれらを組み合わせ、所定の文字数に構成したものである。
認証情報生成装置1は、ユーザからの要求に従い、上述した第一認証情報と第二認証情報という二つの認証情報を生成したり、当該第一認証情報を第二認証情報に変換したりする装置である。
なお、認証情報生成装置1が生成する第二認証情報は、所定のウェブサイトやソフトウェアといった認証対象4において、ユーザが特定の機能や権限を使用する際に必要な情報を構成する。通常、このような情報は、所謂IDとパスワードによって構成されるが、本実施形態において第二認証情報はパスワードと同義である。
また、基本的な態様として、認証情報は英字(大文字、小文字も区別される)、数字、記号のいずれか、またはこれらを組み合わせ、所定の文字数に構成したものである。
本実施形態において、認証情報生成装置1は、Webサーバにより配信されつつもユーザ端末2上で動作するシングルページアプリケーション(SPA)やWeb Assembly(WASM)アプリケーションとして提供される。この場合、ユーザがユーザ端末2により所定のWebサーバにアクセスすると、HTML/JavaScript(登録商標)で書かれたアプリケーション(認証情報生成装置1)がユーザ端末2のブラウザ上に読み込まれる。以後、認証情報生成装置1は、ユーザ端末2のブラウザ上だけで動作し、ユーザ端末2は原則的にはサーバと通信を行わない。
ただし、これにかかわらず、Webサーバと連携するウェブアプリケーションとして認証情報生成装置1を提供することもでき、ユーザはこの場合、ユーザ端末2に実装されたブラウザプログラムによって認証情報生成装置1の機能提供を受けることができる。また、認証情報生成装置1をユーザ端末2に実装させ、ユーザ端末2上で機能させることもできる。
ただし、これにかかわらず、Webサーバと連携するウェブアプリケーションとして認証情報生成装置1を提供することもでき、ユーザはこの場合、ユーザ端末2に実装されたブラウザプログラムによって認証情報生成装置1の機能提供を受けることができる。また、認証情報生成装置1をユーザ端末2に実装させ、ユーザ端末2上で機能させることもできる。
図1に示されるように、認証情報生成装置1は、情報記憶部11、設定部12、確認情報生成部13、識別効果付与部14、算出部15、第一認証情報生成部16、第二認証情報生成部17、変換部18、及び通信部19からなる機能ブロックを有する。
情報記憶部11は、設定部12によって設定された秘密鍵を記憶する。
秘密鍵は、後述する認証情報の生成処理及び変換処理において必要な情報である。この秘密鍵は、例えば英文字、数字、記号のいずれか又はこれらの組み合わせによって構成される。なお、秘密鍵は、一定の文字数からなる一の文字列によって構成されてもよいし、一定の文字数からなる複数の文字列によって構成されてもよい。また複数の文字列によって構成される場合には、当該複数の文字列の文字数は同じであってもよいし、異なるものであってもよい。
秘密鍵は、後述する認証情報の生成処理及び変換処理において必要な情報である。この秘密鍵は、例えば英文字、数字、記号のいずれか又はこれらの組み合わせによって構成される。なお、秘密鍵は、一定の文字数からなる一の文字列によって構成されてもよいし、一定の文字数からなる複数の文字列によって構成されてもよい。また複数の文字列によって構成される場合には、当該複数の文字列の文字数は同じであってもよいし、異なるものであってもよい。
また、秘密鍵は、いかなる装置や端末、あるいはツールにおいても格納されず、ユーザが記憶している限りにおいて使用できることが好ましい。そのため、秘密鍵は、ユーザが記憶しておくことが困難でない程度の情報量又は性質のものであることが好ましい。
後述する第二認証情報生成部17及び変換部18は、認証情報の生成処理又は変換処理において、この情報記憶部11を参照して秘密鍵を抽出する。
後述する第二認証情報生成部17及び変換部18は、認証情報の生成処理又は変換処理において、この情報記憶部11を参照して秘密鍵を抽出する。
なお、認証情報生成装置1が上述したSPAやWASMアプリケーションとして提供される場合、情報記憶部11はブラウザ内のメモリ領域に構築される。そのため、ユーザ端末2はWebサーバとの間でセッションを確立・保持することを要さず、ユーザ端末2上で完全に独立して認証情報生成装置1の一切の機能が提供されるため、ネットワークNWを経由した秘密情報の漏洩リスクが生じない。なお、現在利用されるブラウザのメモリ領域は、その厳しいセキュリティ要件から、同一端末のブラウザ以外のアプリケーションや他のブラウザウィンドウ・他のブラウザタブからは極めて厳格に分離されている。そのため、情報記憶部11の情報は、ユーザ端末2上の他のアプリケーション等からの攻撃も受けない。
また、認証情報生成装置1がウェブアプリケーションとして提供される場合、情報記憶部11は、ユーザ端末2に作成されるセッションクッキーによって実現され、認証情報生成装置1は設定要求された秘密鍵を当該セッションクッキーに保持している。これにより、ユーザ端末2が認証情報生成装置1とセッションを確立している間のみ、認証情報生成装置1は当該セッションクッキーに格納された秘密鍵を参照し、認証情報生成装置1とユーザ端末2とのセッションが終了すると、セッションクッキーの削除に応じて当該秘密鍵は消去される。これにより、セッションが確立している間は、認証情報の生成処理や変換処理の都度、秘密鍵を設定する必要はないし、セッションが切断されれば秘密鍵は消去されるため、秘密鍵が恒常的に記録された状態となって漏洩等してしまうリスクがない。
また、認証情報生成装置1がウェブアプリケーションとして提供される場合、情報記憶部11は、ユーザ端末2に作成されるセッションクッキーによって実現され、認証情報生成装置1は設定要求された秘密鍵を当該セッションクッキーに保持している。これにより、ユーザ端末2が認証情報生成装置1とセッションを確立している間のみ、認証情報生成装置1は当該セッションクッキーに格納された秘密鍵を参照し、認証情報生成装置1とユーザ端末2とのセッションが終了すると、セッションクッキーの削除に応じて当該秘密鍵は消去される。これにより、セッションが確立している間は、認証情報の生成処理や変換処理の都度、秘密鍵を設定する必要はないし、セッションが切断されれば秘密鍵は消去されるため、秘密鍵が恒常的に記録された状態となって漏洩等してしまうリスクがない。
設定部12は、ユーザによって入力された秘密鍵を情報記憶部11に設定する設定処理を実行する。秘密鍵の設定が繰り返し行われた場合には、最も直近に入力された秘密鍵のみが情報記憶部11に設定される。
確認情報生成部13は、秘密鍵を引数とした所定の関数による戻り値を算出すると共に、当該戻り値の一部又は全部からなる確認情報を生成する。
確認情報とは、ユーザが入力した秘密鍵に基づいて生成される情報である。ユーザは当該確認情報を参照することにより、入力した秘密鍵が、自らが記憶する正しい秘密鍵であるかどうかを確認できる。即ち、所定の秘密鍵からは、所定のアルゴリズムによって常に同じ確認情報が生成、表示される。これによりユーザは、当該生成された確認情報が、秘密鍵の入力の度に生成、表示されているものと一致すれば、入力した秘密鍵が正しいものであると認識できる。
確認情報とは、ユーザが入力した秘密鍵に基づいて生成される情報である。ユーザは当該確認情報を参照することにより、入力した秘密鍵が、自らが記憶する正しい秘密鍵であるかどうかを確認できる。即ち、所定の秘密鍵からは、所定のアルゴリズムによって常に同じ確認情報が生成、表示される。これによりユーザは、当該生成された確認情報が、秘密鍵の入力の度に生成、表示されているものと一致すれば、入力した秘密鍵が正しいものであると認識できる。
なお、所定の関数の種類は特に限定されないが、例えばハッシュ関数であり、確認情報生成部13は、秘密鍵から当該ハッシュ関数によってハッシュ値を得る。この場合、確認情報生成部13は、戻り値であるハッシュ値をそのまま確認情報としてもよいし、ハッシュ値の上位又は下位の所定桁数を切り出して確認情報としてもよい。ただし、確認情報生成部13は、常に同じアルゴリズムによって確認情報を生成するように構成され、これにより同じ秘密鍵に対しては同じ確認情報が生成される。
識別効果付与部14は、確認情報の表示において、所定の分類規則に基づいた識別効果を付与する。
所定の分類規則とは、例えば、確認情報をビット化し、ビット列の上位又は下位の所定桁数の順列として構成できる。ただし、この一例にかかわらず、所定の分類規則は、確認情報を一定数のパターンに分類できるものであればよい。また、分類する数は特に限定されない。
識別効果は、所定の分類規則に基づいて確認情報に付与される。識別効果の一例は色であり、確認情報がユーザ端末2上に表示される際には、確認情報の分類に応じた色によって確認情報が表示される。このほか、識別効果は、確認情報のフォントや文字の大きさ、明滅パターン、確認情報を囲む枠の色などであってもよく、確認情報ごとの分類を区別できるものであればよい。
これにより、ユーザは、自らが入力した秘密鍵が正しい秘密鍵であるかどうかを一定の確度で推認できる。
所定の分類規則とは、例えば、確認情報をビット化し、ビット列の上位又は下位の所定桁数の順列として構成できる。ただし、この一例にかかわらず、所定の分類規則は、確認情報を一定数のパターンに分類できるものであればよい。また、分類する数は特に限定されない。
識別効果は、所定の分類規則に基づいて確認情報に付与される。識別効果の一例は色であり、確認情報がユーザ端末2上に表示される際には、確認情報の分類に応じた色によって確認情報が表示される。このほか、識別効果は、確認情報のフォントや文字の大きさ、明滅パターン、確認情報を囲む枠の色などであってもよく、確認情報ごとの分類を区別できるものであればよい。
これにより、ユーザは、自らが入力した秘密鍵が正しい秘密鍵であるかどうかを一定の確度で推認できる。
なお、本実施形態では、確認情報生成部13によって生成された確認情報に対し、識別効果付与部14により所定の識別効果を付してユーザ端末2上に表示するものとしているが、これにかかわらず、確認情報の分類に応じた模様や図柄などを表示してもよい。また、このような模様や図柄を表示する場合、確認情報を合わせて表示してもよいし、表示しなくてもよい。
算出部15は、所定の引数に基づき、所定の不可逆関数による戻り値を算出する。
所定の不可逆関数とは、例えばハッシュ関数であり、不可逆的な一方向性関数である。
本実施形態において所定の不可逆関数としてハッシュ関数が用いられる場合、算出部15は、第二認証情報生成部17又は変換部18から所定の引数を受け付けると、これに応じてハッシュ値を算出し、当該ハッシュ値を当該第二認証情報生成部17又は変換部18に返す。
所定の不可逆関数とは、例えばハッシュ関数であり、不可逆的な一方向性関数である。
本実施形態において所定の不可逆関数としてハッシュ関数が用いられる場合、算出部15は、第二認証情報生成部17又は変換部18から所定の引数を受け付けると、これに応じてハッシュ値を算出し、当該ハッシュ値を当該第二認証情報生成部17又は変換部18に返す。
なお、算出部15は、所定の引数を所定の不可逆関数に入力して戻り値を算出し、当該戻り値を再び引数として戻り値を算出するといったように、演算を所定回数繰り返してもよい。これにより、戻り値によって構成される第二認証情報の安全性を高めることができる。
第一認証情報生成部16は、第一認証情報を生成する。
具体的な一例において、第一認証情報生成部16は乱数発生器を備えており、所定のシード値に基づいて乱数を発生させ、当該乱数からなる第一認証情報を生成する。所定のシード値は、例えば、認証情報生成装置1が時刻などの変化し得る情報を数値に置き換えて構成することができる。また、他の例においては、シード値をユーザが任意に入力した値によって構成することもできる。
この場合、第一認証情報生成部16は、ユーザから第一認証情報の生成を要求されると、所定のシード値から乱数を発生させ、当該乱数を第一認証情報としてユーザに提供する。
具体的な一例において、第一認証情報生成部16は乱数発生器を備えており、所定のシード値に基づいて乱数を発生させ、当該乱数からなる第一認証情報を生成する。所定のシード値は、例えば、認証情報生成装置1が時刻などの変化し得る情報を数値に置き換えて構成することができる。また、他の例においては、シード値をユーザが任意に入力した値によって構成することもできる。
この場合、第一認証情報生成部16は、ユーザから第一認証情報の生成を要求されると、所定のシード値から乱数を発生させ、当該乱数を第一認証情報としてユーザに提供する。
また、第一認証情報生成部16は、生成する第一認証情報について所定の文字数の指定がある場合には、当該所定の文字数で構成された乱数を発生させ、当該所定の文字数で構成された乱数からなる第一認証情報を生成することもできる。
第二認証情報生成部17は、ユーザからの生成要求に応じて、算出部15に対し、情報記憶部11に記憶されている秘密鍵と第一認証情報生成部16により生成された第一認証情報を引数とした戻り値を算出させ、当該戻り値からなる第二認証情報を生成する生成処理を実行する。
生成処理において、秘密鍵と第一認証情報は例えば、それぞれをビット化して連結することにより一の情報からなる引数を構成する。なお、このように秘密鍵と第一認証情報を一の情報からなる引数とする処理は、第二認証情報生成部17において実行されるものであってもよいし、算出部15が第二認証情報生成部17から秘密鍵と第一認証情報を受け取り、当該算出部15において実行されるものであってもよい。
生成処理において、秘密鍵と第一認証情報は例えば、それぞれをビット化して連結することにより一の情報からなる引数を構成する。なお、このように秘密鍵と第一認証情報を一の情報からなる引数とする処理は、第二認証情報生成部17において実行されるものであってもよいし、算出部15が第二認証情報生成部17から秘密鍵と第一認証情報を受け取り、当該算出部15において実行されるものであってもよい。
また、第二認証情報生成部17は、生成する第二認証情報について所定の文字数の指定がある場合には、所定の文字数で構成された戻り値を算出部15に算出させ、これにより当該戻り値からなる第二認証情報を生成することができる。なお、文字数の指定がある場合には、まず指定された文字数で構成された第一認証情報が生成され、これに応じて当該第一認証情報と秘密鍵を一の情報からなる引数として戻り値を算出させると、当該指定された文字数で構成された第二認証情報が生成される。
また、第二認証情報生成部17は、生成する第二認証情報に、ユーザが指定する所定の文字列を含めることができる。具体的には、秘密鍵と第一認証情報に基づいて算出された戻り値について、当該所定の文字列の字数分だけ当該戻り値の一部を削除し、当該所定の文字列に置き換える。この場合、第一認証情報の生成においては、発生させた乱数に、当該文字列への置換を意味する記述を付加するとよい。これにより、第二認証情報生成部17や後述する変換部18が第一認証情報中にかかる記述を識別すると、かかる記述を省いて通常通りに算出部15に戻り値の算出を行わせた後、かかる記述に即して戻り値の一部を当該文字列に置換する。
なお、第二認証情報生成部17は、生成した第二認証情報について、これをQRコード(登録商標)等の二次元コードにコード化できるようになっていてもよい。これにより、ユーザは、ユーザ端末2が別途備えるカメラ等の撮像機能を利用して当該二次元コードを読み取り、簡易に第二認証情報を取得できる。
変換部18は、ユーザからの変換要求に応じて、算出部15に対し、情報記憶部11に記憶されている秘密鍵とユーザから受け付けた第一認証情報を引数とした戻り値を算出させ、第一認証情報を当該戻り値からなる第二認証情報に変換する変換処理を実行する。
通信部19は、インターネット等のネットワークNWを介して、ユーザ端末2とデータの送受信処理を実行する。
この通信部19は例えば、ユーザ端末2から情報を受け付ける受付部として機能する。具体的には、ユーザ端末2から、秘密鍵の入力を受け付ける第一の受付部、第一認証情報の入力と共に、管理ツール3から取得された第一認証情報を第二認証情報に変換する変換要求を受け付ける第二の受付部、所定の文字数の指定と共に、第二認証情報の生成の指示を受け付ける第三の受付部、ユーザ端末2から第二認証情報に付加する文字列の入力を受け付ける第四の受付部として機能する。
また、通信部19は例えば、ユーザ端末2に対して情報を提供する提供部として機能する。具体的には、生成した認証情報をユーザ端末2に対して提供する第一の提供部、第一認証情報から変換した第二認証情報をユーザ端末2に対して提供する第二の提供部として機能する。
このほか、各機能部の実行に応じて生成等される情報をユーザ端末2に対して送信したり、ユーザ端末2から送信された情報を受信したりする。
この通信部19は例えば、ユーザ端末2から情報を受け付ける受付部として機能する。具体的には、ユーザ端末2から、秘密鍵の入力を受け付ける第一の受付部、第一認証情報の入力と共に、管理ツール3から取得された第一認証情報を第二認証情報に変換する変換要求を受け付ける第二の受付部、所定の文字数の指定と共に、第二認証情報の生成の指示を受け付ける第三の受付部、ユーザ端末2から第二認証情報に付加する文字列の入力を受け付ける第四の受付部として機能する。
また、通信部19は例えば、ユーザ端末2に対して情報を提供する提供部として機能する。具体的には、生成した認証情報をユーザ端末2に対して提供する第一の提供部、第一認証情報から変換した第二認証情報をユーザ端末2に対して提供する第二の提供部として機能する。
このほか、各機能部の実行に応じて生成等される情報をユーザ端末2に対して送信したり、ユーザ端末2から送信された情報を受信したりする。
●ユーザ端末2
ユーザ端末2は、認証情報生成装置1の機能を利用するユーザが使用する端末である。このユーザ端末2は、一般的なPC(パーソナルコンピュータ)やスマートフォン、タブレット型端末などによって実現され、記憶部、通信部、入出力部などの機能部を有する。
ユーザ端末2はこのほか、認証情報生成装置1によって生成、表示されたQRコード(登録商標)等の二次元コードを取得するCCDカメラ等の撮像部や、当該二次元コードをデコードする機能部等を備えてもよい。
ユーザ端末2は、認証情報生成装置1の機能を利用するユーザが使用する端末である。このユーザ端末2は、一般的なPC(パーソナルコンピュータ)やスマートフォン、タブレット型端末などによって実現され、記憶部、通信部、入出力部などの機能部を有する。
ユーザ端末2はこのほか、認証情報生成装置1によって生成、表示されたQRコード(登録商標)等の二次元コードを取得するCCDカメラ等の撮像部や、当該二次元コードをデコードする機能部等を備えてもよい。
記憶部は、各種のデータを記録する機能部であり、ソリッドステートドライブ、フラッシュメモリなどによって実現される。
通信部は、所定の通信プロトコルによりネットワークNWを介したデータの送受信を実行する機能部であり、ブラウザプログラムなどによって実現される。
入出力部は、データを入出力するための機能部であり、タッチパネルディスプレイなどによって実現される。なお、入出力部は、キーボードやマイク等の入力部とディスプレイ等の出力部によって構成されていてもよい。
通信部は、所定の通信プロトコルによりネットワークNWを介したデータの送受信を実行する機能部であり、ブラウザプログラムなどによって実現される。
入出力部は、データを入出力するための機能部であり、タッチパネルディスプレイなどによって実現される。なお、入出力部は、キーボードやマイク等の入力部とディスプレイ等の出力部によって構成されていてもよい。
●管理ツール3
管理ツール3は、認証対象4においてユーザの認証に必要な情報を管理するソフトウェア(Saas等、オンライン形式で提供されるものであってもよい)である。この管理ツール3では通常、ユーザが認証対象4ごとに認証を受けるための情報が当該ユーザに関連付けて管理されている。
この管理ツール3は少なくとも、認証情報生成装置1によって生成された第一認証情報を所定の情報記憶部に登録する登録部と、ユーザ端末2に対し、所定の情報記憶部を参照して、登録されている第一認証情報を提供する第一認証情報提供部とを有する。
本実施形態では、ユーザは認証対象4で認証を受ける際、第二認証情報への変換に必要となる第一認証情報を当該管理ツール3から取得する。
●認証対象4
認証対象4とは、ユーザが認証情報を用いる対象であって、例えば所定のウェブサイトやソフトウェアである。認証対象4では、ユーザは、ログインに必要なIDやパスワード(本実施形態でいうところの第二認証情報)の入力を求められる。ユーザは、認証対象4において認証を受けるためのパスワードとして第二認証情報を認証情報生成装置1により生成し、当該認証対象4に登録する。認証対象4において認証を受ける際には、ユーザは認証情報生成装置1から第二認証情報を取得する。認証対象4において第二認証情報に基づく認証処理を受けた結果、認証に成功した場合には、ユーザは認証対象4において特定の機能や権限を使用することが可能となる。
本実施形態では、ユーザは認証対象4で認証を受ける際、第二認証情報への変換に必要となる第一認証情報を当該管理ツール3から取得する。
●認証対象4
認証対象4とは、ユーザが認証情報を用いる対象であって、例えば所定のウェブサイトやソフトウェアである。認証対象4では、ユーザは、ログインに必要なIDやパスワード(本実施形態でいうところの第二認証情報)の入力を求められる。ユーザは、認証対象4において認証を受けるためのパスワードとして第二認証情報を認証情報生成装置1により生成し、当該認証対象4に登録する。認証対象4において認証を受ける際には、ユーザは認証情報生成装置1から第二認証情報を取得する。認証対象4において第二認証情報に基づく認証処理を受けた結果、認証に成功した場合には、ユーザは認証対象4において特定の機能や権限を使用することが可能となる。
●処理の流れの概要
続いて、本実施形態に係る認証情報生成装置1において実行される処理の流れについて図を参照して説明する。
図2は、ユーザが認証対象4において認証に用いる情報を登録する際、当該ユーザが認証情報生成装置1により認証情報の生成を受けるときの処理の流れを示している。
続いて、本実施形態に係る認証情報生成装置1において実行される処理の流れについて図を参照して説明する。
図2は、ユーザが認証対象4において認証に用いる情報を登録する際、当該ユーザが認証情報生成装置1により認証情報の生成を受けるときの処理の流れを示している。
ユーザは、ユーザ端末2を介して、認証情報生成装置1に対して秘密鍵を入力すると共に当該秘密鍵の設定を要求する(S11)。
設定部12は、要求に応じて秘密鍵の設定処理を実行し、これにより情報記憶部11に秘密鍵が設定される(S12)。
設定部12は、要求に応じて秘密鍵の設定処理を実行し、これにより情報記憶部11に秘密鍵が設定される(S12)。
ユーザは、認証情報生成装置1に対して認証情報の生成を要求する(S13)。これに応じて第一認証情報生成部16と第二認証情報生成部17により認証情報の生成処理が実行される(S14)。
ユーザは、認証情報生成装置1から得た認証情報のうち、第二認証情報を認証対象4に登録し(S15)、第一認証情報を管理ツール3に登録する(S16)。
これにより、認証情報の生成及び設定が完了する。
これにより、認証情報の生成及び設定が完了する。
図3は、ユーザが認証対象4において認証を受ける際、当該ユーザが認証情報生成装置1から認証に必要となる第二認証情報を取得するときの処理の流れを示している。
ユーザは、ユーザ端末2を介して、認証情報生成装置1に対して秘密鍵を入力すると共に当該秘密鍵の設定を要求する(S21)。設定部12は、要求に応じて秘密鍵の設定処理を実行し、これにより情報記憶部11に秘密鍵が設定される(S22)。
なお、このS21、S22による設定処理は、上述したS11、12による設定処理と同様のものであり、ユーザが使用する秘密鍵が既に情報記憶部11に設定されている状態では省くことができる。
なお、このS21、S22による設定処理は、上述したS11、12による設定処理と同様のものであり、ユーザが使用する秘密鍵が既に情報記憶部11に設定されている状態では省くことができる。
ユーザは、管理ツール3から第一認証情報を取得し(S23)、これを認証情報生成装置1に入力した上、当該第一認証情報から第二認証情報への変換処理を要求する(S24)。
変換部18は、要求に応じて認証情報の変換処理を実行し(S25)、これによりユーザは第二認証情報を取得する。
ユーザは、第二認証情報を認証対象4に入力して認証を受ける(S26)。
これにより、認証に成功すると、ユーザは認証対象4において特定の機能や権限を使用できるようになる。
ユーザは、第二認証情報を認証対象4に入力して認証を受ける(S26)。
これにより、認証に成功すると、ユーザは認証対象4において特定の機能や権限を使用できるようになる。
●処理フロー(設定処理)
図4は、認証情報生成装置1において実行される設定処理の流れの詳細を示している。
認証情報生成装置1は、ユーザから秘密鍵の入力を受け付けると(S101)、確認情報生成部13により確認情報を生成し(S102)、確認情報をユーザ端末2上に表示させる(S103)。なお、表示される確認情報に対しては、識別効果付与部14によって所定の分類規則に基づいた識別効果が付与される。
図4は、認証情報生成装置1において実行される設定処理の流れの詳細を示している。
認証情報生成装置1は、ユーザから秘密鍵の入力を受け付けると(S101)、確認情報生成部13により確認情報を生成し(S102)、確認情報をユーザ端末2上に表示させる(S103)。なお、表示される確認情報に対しては、識別効果付与部14によって所定の分類規則に基づいた識別効果が付与される。
ユーザが確認情報を確認し、自らが入力した秘密鍵が正しいものであると判別すると、ユーザから認証情報生成装置1に対し、当該秘密鍵の設定要求が行われる(S104)。これに応じて、認証情報生成装置1は設定部12により、入力された秘密鍵を情報記憶部11に設定する(S105)。
ここで、図5は、設定処理の際にユーザ端末2上に表示される画面及びその遷移の一例を示している。画面上には、秘密鍵入力欄G11、第一確認情報表示欄G12、第二確認情報表示欄G13、設定ボタンG14が設けられている。
なお、秘密鍵入力欄G11は目隠し表示されるようになっていてもよい。
なお、秘密鍵入力欄G11は目隠し表示されるようになっていてもよい。
本実施形態においては、秘密鍵は二つ一組の情報によって構成され、秘密鍵入力欄G11は二つ一組の秘密鍵を入力できるようになっている。
第一確認情報表示欄G12には、秘密鍵入力欄G11に入力された秘密鍵に基づいて生成された確認情報が表示される。
第二確認情報表示欄G13には、設定部12によって設定されている秘密鍵に基づいて生成された確認情報が表示される。
図示の例では、第一確認情報表示欄G12と第二確認情報表示欄G13は矩形状の枠によって構成されている。確認情報の表示においては識別効果付与部14によって所定の識別効果が付与されるところ、本実施形態では、当該枠内の色が確認情報の分類に応じた色に設定される。
設定ボタンG14は、秘密鍵入力欄G11に入力された秘密鍵の設定要求を受け付けるボタンであり、設定ボタンG14が押下されると、設定ボタンG14押下時に秘密鍵入力欄G11に入力されていた秘密鍵が情報記憶部11に設定される。
第一確認情報表示欄G12には、秘密鍵入力欄G11に入力された秘密鍵に基づいて生成された確認情報が表示される。
第二確認情報表示欄G13には、設定部12によって設定されている秘密鍵に基づいて生成された確認情報が表示される。
図示の例では、第一確認情報表示欄G12と第二確認情報表示欄G13は矩形状の枠によって構成されている。確認情報の表示においては識別効果付与部14によって所定の識別効果が付与されるところ、本実施形態では、当該枠内の色が確認情報の分類に応じた色に設定される。
設定ボタンG14は、秘密鍵入力欄G11に入力された秘密鍵の設定要求を受け付けるボタンであり、設定ボタンG14が押下されると、設定ボタンG14押下時に秘密鍵入力欄G11に入力されていた秘密鍵が情報記憶部11に設定される。
図5(a)は、ユーザが認証情報生成装置1にアクセスした際の初期画面であって、ユーザが秘密鍵の設定を開始する際に表示されている画面である。初期画面では、秘密鍵の一例(図示の例では、「Miso」と「Pepper」)が入力及び設定された状態になっており、第一確認情報表示欄G12及び第二確認情報表示欄G13には、秘密鍵入力欄G11に一例として入力されている秘密鍵に基づいた確認情報(図示の例では、「#48e116」)が表示されている。
なお、第一確認情報表示欄G12及び第二確認情報表示欄G13は、表示されている確認情報の分類に対応した識別効果が付与されており、例えば、第一確認情報表示欄G12及び第二確認情報表示欄G13の枠内の背景色が分類に応じた所定の色になっている。
なお、第一確認情報表示欄G12及び第二確認情報表示欄G13は、表示されている確認情報の分類に対応した識別効果が付与されており、例えば、第一確認情報表示欄G12及び第二確認情報表示欄G13の枠内の背景色が分類に応じた所定の色になっている。
図5(a)の状態から、図5(b)に示されるように、ユーザが秘密鍵入力欄G11に所定の秘密鍵(図示の例では、「Sugar」と「Salt」)を入力すると、入力された秘密鍵に基づいた確認情報が第一確認情報表示欄G12に表示される。
この状態ではまだ設定ボタンG14が押下されておらず、ユーザによって入力された秘密鍵が設定されていないため、第二確認情報表示欄G13は図5(a)と同様のままとなっている。
また、第一確認情報表示欄G12中の確認情報に対しては、確認情報の分類に応じた識別効果が改めて付与される。ユーザは、この識別効果を確認することにより、当該識別効果が正しい秘密鍵に対応するものであるかどうかを判別することができる。
この状態ではまだ設定ボタンG14が押下されておらず、ユーザによって入力された秘密鍵が設定されていないため、第二確認情報表示欄G13は図5(a)と同様のままとなっている。
また、第一確認情報表示欄G12中の確認情報に対しては、確認情報の分類に応じた識別効果が改めて付与される。ユーザは、この識別効果を確認することにより、当該識別効果が正しい秘密鍵に対応するものであるかどうかを判別することができる。
図5(b)の状態から、設定ボタンG14が押下されると、図5(c)に示されるように、秘密鍵入力欄G11に入力されていた秘密鍵が情報記憶部11に設定される。また、第二確認情報表示欄G13には、設定された秘密鍵に対応する確認情報が表示される。この第二確認情報表示欄G13においても、設定された秘密鍵に対応する確認情報の分類に応じた識別効果が改めて付与される。
●処理フロー(生成処理)
図6は、認証情報生成装置1において実行される生成処理の流れの詳細を示している。
認証情報生成装置1は、ユーザから所定の文字数の指定入力を受け付ける(S201)。生成される認証情報は、文字数の指定入力があった場合には入力された文字数で構成させるように設定され(S202)、ユーザから文字数の指定入力がなかった場合には、デフォルトの文字数で構成させるように設定される(S203)。
図6は、認証情報生成装置1において実行される生成処理の流れの詳細を示している。
認証情報生成装置1は、ユーザから所定の文字数の指定入力を受け付ける(S201)。生成される認証情報は、文字数の指定入力があった場合には入力された文字数で構成させるように設定され(S202)、ユーザから文字数の指定入力がなかった場合には、デフォルトの文字数で構成させるように設定される(S203)。
そして、認証情報生成装置1は、ユーザから認証情報の生成要求を受け付けると(S204)、第一認証情報生成部16により、シード値に基づいて乱数を発生させ、当該乱数からなる第一認証情報を生成する(S205)。この際には、指定入力された文字数又はでフォルト設定されている文字数の第一認証情報が生成される。また、認証情報生成装置1は第一認証情報の生成に続けて、第二認証情報生成部17により、算出部15に対し、秘密鍵と第一認証情報を引数とした戻り値を算出させ、当該戻り値からなる第二認証情報を生成する(S206)。当該第二認証情報は、第一認証情報と同じ文字数のものが算出されるようになっており、これにより、第二認証情報についてもユーザに指定された文字数又はデフォルトの文字数で構成される。
ここで、図7は、生成処理の際に、ユーザ端末2上に表示される画面及びその遷移の一例を示している。画面上には、文字数指定欄G21、文字列入力欄G22、生成ボタンG23、第一認証情報表示欄G24、第二認証情報表示欄G25のほか、前述した第二確認情報表示欄G13が設けられている。
文字数指定欄G21では、認証情報生成装置1が生成する認証情報(後述の通り、文字列入力欄G22に文字列が入力される場合には第二認証情報のみ)の文字数を指定できる。認証対象4では、パスワードの文字数が規定されていることがあるため、ユーザは規定に応じて当該パスワードとして用いる第二認証情報の文字数を指定すればよい。
文字列入力欄G22には、ユーザが第二認証情報に特定の文字列を含めたい場合、ユーザの任意によって当該文字列が入力される。認証対象4では、パスワードに記号や複数種類の英数字が必要とされることがあるため、ユーザは規定に沿うように文字列を付加すればよい。また、ユーザが第二認証情報を参照することにより、当該第二認証情報を用いる対象たる認証対象4を識別できるような文字列を付加するといった使い方も可能である。
生成ボタンG23は、第一認証情報と第二認証情報とからなる認証情報の生成を要求するボタンであり、生成ボタンG23が押下されると、生成ボタンG23押下時に文字数指定欄G21及び文字列入力欄G22に入力されていた情報に基づいて認証情報が生成される。
第一認証情報表示欄G24では、第一認証情報生成部16によって第一認証情報が生成されると当該第一認証情報が表示される。
第二認証情報表示欄G25では、第二認証情報生成部17によって第二認証情報が生成されると当該第二認証情報が表示される。
文字列入力欄G22には、ユーザが第二認証情報に特定の文字列を含めたい場合、ユーザの任意によって当該文字列が入力される。認証対象4では、パスワードに記号や複数種類の英数字が必要とされることがあるため、ユーザは規定に沿うように文字列を付加すればよい。また、ユーザが第二認証情報を参照することにより、当該第二認証情報を用いる対象たる認証対象4を識別できるような文字列を付加するといった使い方も可能である。
生成ボタンG23は、第一認証情報と第二認証情報とからなる認証情報の生成を要求するボタンであり、生成ボタンG23が押下されると、生成ボタンG23押下時に文字数指定欄G21及び文字列入力欄G22に入力されていた情報に基づいて認証情報が生成される。
第一認証情報表示欄G24では、第一認証情報生成部16によって第一認証情報が生成されると当該第一認証情報が表示される。
第二認証情報表示欄G25では、第二認証情報生成部17によって第二認証情報が生成されると当該第二認証情報が表示される。
図7(a)は、認証情報の生成を受ける際に表示される画面であり、文字数指定欄G21にデフォルトの文字数(図示の例では、「32」)が入力されているほかは、各欄は当初、すべて空欄又は未入力の状態となっている。図7(a)の状態から、図7(b)に示されるように、ユーザは文字数をデフォルトから変更する場合には、文字数指定欄G21に任意の文字数を入力する。また、ユーザは、第二認証情報に所定の文字列を含ませたい場合には、文字列入力欄G22に所定の文字列を入力する。
図7(b)の状態から、生成ボタンG23が押下されると、第一認証情報生成部16と第二認証情報生成部17によって第一認証情報と第二認証情報が生成され、図7(c)に示されるように、第一認証情報表示欄G24に第一認証情報が表示され、また、第二認証情報表示欄G25に第二認証情報が表示される。
ここで、第一認証情報と第二認証情報は、図7(b)の例で入力されていた文字数(図示の例では、「8」)で構成されている。
ここで、第一認証情報と第二認証情報は、図7(b)の例で入力されていた文字数(図示の例では、「8」)で構成されている。
なお、図7(b)において、文字列入力欄G22に所定の文字列の入力があった場合には、当該所定の文字列を含む第二認証情報が生成される。例えば、図7(b)の例において、所定の文字列として「abc」の指定入力があった場合、第一認証情報生成部16は、8文字の乱数を生成した上、当該乱数に対し、第二認証情報の生成又は変換の際、乱数の一部を当該所定の文字列に置き換えることを指示する記述を付加した第一認証情報を生成する。図7の例を用いると、指定された8文字の乱数「b1egyY92」に、文字列への変換を指示する記述「-3+abc」を付加した「b1egyY92-3+abc」を第一認証情報として生成する。この記述が意味するところは、「第二認証情報の下3桁を削除してabcに置き換える」というものである。第二認証情報生成部17は、秘密鍵と第一認証情報に基づいて第二認証情報を生成する際、第一認証情報に含まれる、変換を指示する記述を識別し、当該記述を省いた値を入力として算出部15から戻り値(例えば、「Kb783wf5」とする)を取得する。なお、第一認証情報に含まれる変換を指示する記述は例えば、第一認証情報に含まれる「マイナス」の記号以降の部分(識別できれば他の記号であってもよい)として識別することができる。そして、第二認証情報生成部17は、当該戻り値の下3桁「wf5」を「abc」に置き換え、これにより生成された8文字からなる「Kb783abc」を第二認証情報として提供する。
●処理フロー(変換処理)
図8は、認証情報生成装置1において実行される設定処理の流れの詳細を示している。
認証情報生成装置1は、ユーザから第一認証情報の入力を受け付ける(S301)。そして、ユーザから、第一認証情報を第二認証情報に変換することを要求する変換要求を受け付けると(S302)、変換部18により、算出部15に対して秘密鍵と第一認証情報を引数とした戻り値を算出させ、第一認証情報を当該戻り値からなる第二認証情報に変換する(S303)。
●処理フロー(変換処理)
図8は、認証情報生成装置1において実行される設定処理の流れの詳細を示している。
認証情報生成装置1は、ユーザから第一認証情報の入力を受け付ける(S301)。そして、ユーザから、第一認証情報を第二認証情報に変換することを要求する変換要求を受け付けると(S302)、変換部18により、算出部15に対して秘密鍵と第一認証情報を引数とした戻り値を算出させ、第一認証情報を当該戻り値からなる第二認証情報に変換する(S303)。
ここで、図9は、変換処理の際に、ユーザ端末2上に表示される画面及びその遷移の一例を示している。画面上には、第一認証情報入力欄G31、変換ボタンG32、第二認証情報表示欄G33、コード表示欄G34のほか、前述した第二確認情報表示欄G13が設けられている。
なお、第二認証情報表示欄G33には、コピーボタンG331が設けられており、コピーボタンG331の押下により第二認証情報表示欄G33に表示された第二認証情報をコピーすることができる。
なお、第二認証情報表示欄G33には、コピーボタンG331が設けられており、コピーボタンG331の押下により第二認証情報表示欄G33に表示された第二認証情報をコピーすることができる。
第一認証情報入力欄G31には、ユーザによって第一認証情報が入力される。
変換ボタンG32は、第一認証情報を第二認証情報に変換することを要求するボタンであり、変換ボタンG32が押下されると、変換ボタンG32押下時に第一認証情報入力欄G31に入力されていた第一認証情報が第二認証情報に変換される。
第二認証情報表示欄G33では、変換部18によって第一認証情報が第二認証情報に変換されると当該第二認証情報が表示される。
コード表示欄G34では、第二認証情報の表示に合わせて、変換部18によって変換された第二認証情報をコード化したQRコード(登録商標)が表示される。
変換ボタンG32は、第一認証情報を第二認証情報に変換することを要求するボタンであり、変換ボタンG32が押下されると、変換ボタンG32押下時に第一認証情報入力欄G31に入力されていた第一認証情報が第二認証情報に変換される。
第二認証情報表示欄G33では、変換部18によって第一認証情報が第二認証情報に変換されると当該第二認証情報が表示される。
コード表示欄G34では、第二認証情報の表示に合わせて、変換部18によって変換された第二認証情報をコード化したQRコード(登録商標)が表示される。
図9(a)は、第一認証情報から第二認証情報への変換を受ける際に表示される画面であり、各欄は当初、すべて空欄又は未入力の状態となっている。図9(b)の状態から、図9(b)に示されるように、ユーザは第一認証情報入力欄G31に第一認証情報を入力する。
図9(b)の状態から、変換ボタンG32が押下されると、変換部18によって第一認証情報が第二認証情報に変換され、図9(c)に示されるように、第二認証情報表示欄G33に第二認証情報が表示される。また、これと共に当該第二認証情報をコード化したQRコード(登録商標)がコード表示欄G34に表示される。
なお、変換処理おいても、生成処理に関して上述したように、第一認証情報に、一部の文字列を所定の文字列に置き換えることを指示する記述が含まれている場合には、変換部18はこれを識別し、第二認証情報生成部17が実行したのと同様の処理によって、第一認証情報を、所定の文字列を含む第二認証情報に変換する。
以上の本発明の実施形態に係る認証情報生成装置1によれば、管理ツール3を提供する事業者の悪意や当該管理ツール3からの情報漏洩にかかわらず、認証対象4における認証に必要となる認証情報が第三者に窃取されることがないし、そもそも当該認証情報がどこにも格納されていないため、安全に認証情報を使用できる。また、ネットワーク経由による情報漏洩の防止のためにネットワークを切断しておく必要もない。また、ユーザは簡易な秘密鍵を記憶しておけば、認証対象4ごとに発行したユニークかつ複雑な認証情報をいちいち記憶しておく必要もないし、当該認証情報の元となる情報(第一認証情報)を管理ツール3に登録しておけば、認証のための情報が分散することになってより安全性が高い。また、秘密鍵は、認証情報の変換に用いられるものの、認証情報そのものではないため、ユーザが誤った秘密鍵を立て続けに設定してしまった場合でも、一定時間ログインを禁じるといった認証失敗時のような対応をとらなくてもよい。
1 :認証情報生成装置
11 :情報記憶部
12 :設定部
13 :確認情報生成部
14 :識別効果付与部
15 :算出部
16 :第一認証情報生成部
17 :第二認証情報生成部
18 :変換部
19 :通信部
2 :ユーザ端末
3 :管理ツール
4 :認証対象
NW :ネットワーク
11 :情報記憶部
12 :設定部
13 :確認情報生成部
14 :識別効果付与部
15 :算出部
16 :第一認証情報生成部
17 :第二認証情報生成部
18 :変換部
19 :通信部
2 :ユーザ端末
3 :管理ツール
4 :認証対象
NW :ネットワーク
Claims (7)
- 管理ツールに格納される第一認証情報、及び認証対象においてユーザの認証に用いられる第二認証情報を生成する認証情報生成装置であって、
前記ユーザが使用するユーザ端末と通信可能に構成され、
前記ユーザ端末から、秘密鍵の入力を受け付ける第一の受付部と、
前記第一認証情報を生成する第一認証情報生成部と、
所定の引数に基づき、所定の不可逆関数による戻り値を算出する算出部と、
前記ユーザ端末から、所定の文字数の指定と共に、前記第二認証情報の生成の指示を受け付ける第三の受付部と、
前記ユーザ端末から、第二認証情報に付加する文字列の入力を受け付ける第四の受付部と、
前記算出部に対し、前記秘密鍵と前記第一認証情報生成部により生成された前記第一認証情報を引数として前記所定の文字数で構成された戻り値を算出させると共に、当該戻り値について、前記文字列の字数分を削除して当該字数分を前記文字列に置き換えた前記第二認証情報を生成する第二認証情報生成部と、
前記ユーザ端末から、前記第一認証情報の入力と共に、前記管理ツールから取得された前記第一認証情報を前記第二認証情報に変換する変換要求を受け付ける第二の受付部と、
前記算出部に対し、前記秘密鍵と前記第二の受付部により受け付けた前記第一認証情報を引数とした戻り値を算出させ、前記第一認証情報を当該戻り値からなる前記第二認証情報に変換する変換部と、
前記ユーザ端末に対し、前記第一認証情報を変換して得られた前記第二認証情報を提供する提供部と、を有する、
認証情報生成装置。
- 前記秘密鍵を引数とした所定の関数による戻り値を算出すると共に、当該戻り値の一部又は全部からなる確認情報を生成する確認情報生成部と、
前記確認情報の表示において、所定の分類規則に基づいた識別効果を付与する識別効果付与部と、をさらに有する、
請求項1記載の認証情報生成装置。
- 前記ユーザ端末から受け付けた前記秘密鍵を情報記憶部に設定する設定部、をさらに有し、
前記第二認証情報生成部及び前記変換部は、前記第二認証情報の生成又は変換の処理において、前記情報記憶部を参照して前記秘密鍵を抽出する、
請求項1記載の認証情報生成装置。
- 前記認証情報生成装置は、シングルページアプリケーションとして提供され、
前記情報記憶部は、ユーザ端末が備えるブラウザ内のメモリ領域に構築される、
請求項1記載の認証情報生成装置。
- 前記第一認証情報生成部は、所定のシード値に基づいて乱数を発生させ、当該乱数からなる前記第一認証情報を生成する、
請求項1記載の認証情報生成装置。
- 管理ツールに格納される第一認証情報、及び認証対象においてユーザの認証に用いられる第二認証情報を生成する認証情報生成方法であって、
前記ユーザが使用するユーザ端末と通信可能に構成されたコンピュータにより、
前記ユーザ端末から、秘密鍵の入力を受け付ける第一の受付処理と、
前記第一認証情報を生成する第一認証情報生成処理と、
所定の引数に基づき、所定の不可逆関数による戻り値を算出する算出処理と、
前記ユーザ端末から、所定の文字数の指定と共に、前記第二認証情報の生成の指示を受け付ける第三の受付処理と、
前記ユーザ端末から、第二認証情報に付加する文字列の入力を受け付ける第四の受付処理と、
前記算出処理により、前記秘密鍵と前記第一認証情報生成処理により生成された前記第一認証情報を引数として前記所定の文字数で構成された戻り値を算出すると共に、当該戻り値について、前記文字列の字数分を削除して当該字数分の前記文字列に置き換えた前記第二認証情報を生成する第二認証情報生成処理と、
前記ユーザ端末から、前記第一認証情報の入力と共に、前記管理ツールから取得された前記第一認証情報を前記第二認証情報に変換する変換要求を受け付ける第二の受付処理と、
前記算出処理により、前記秘密鍵と前記第二の受付処理により受け付けた前記第一認証情報を引数とした戻り値を算出し、前記第一認証情報を当該戻り値からなる前記第二認証情報に変換する変換処理と、
前記ユーザ端末に対し、前記第一認証情報を変換して得られた前記第二認証情報を提供する提供処理と、を実行する、
認証情報生成方法。
- 管理ツールに格納される第一認証情報、及び認証対象においてユーザの認証に用いられる第二認証情報を生成するための認証情報生成プログラムであって、
前記ユーザが使用するユーザ端末と通信可能に構成されたコンピュータに対し、
前記ユーザ端末から、秘密鍵の入力を受け付ける第一の受付処理と、
前記第一認証情報を生成する第一認証情報生成処理と、
所定の引数に基づき、所定の不可逆関数による戻り値を算出する算出処理と、
前記ユーザ端末から、所定の文字数の指定と共に、前記第二認証情報の生成の指示を受け付ける第三の受付処理と、
前記ユーザ端末から、第二認証情報に付加する文字列の入力を受け付ける第四の受付処理と、
前記算出処理により、前記秘密鍵と前記第一認証情報生成処理により生成された前記第一認証情報を引数とした戻り値を算出し、当該戻り値からなる前記第二認証情報を生成する第二認証情報生成処理と、
前記ユーザ端末から、前記第一認証情報の入力と共に、前記管理ツールから取得された前記第一認証情報を前記第二認証情報に変換する変換要求を受け付ける第二の受付処理と、
前記算出処理により、前記秘密鍵と前記第二の受付処理により受け付けた前記第一認証情報を引数として前記所定の文字数で構成された戻り値を算出すると共に、前記第一認証情報を当該戻り値について、前記文字列の字数分を削除して当該字数分の前記文字列に置き換えた前記第二認証情報に変換する変換処理と、
前記ユーザ端末に対し、前記第一認証情報を変換して得られた前記第二認証情報を提供する提供処理と、を実行させる、
認証情報生成プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2023020038A JP7316714B1 (ja) | 2023-02-13 | 2023-02-13 | 認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2023020038A JP7316714B1 (ja) | 2023-02-13 | 2023-02-13 | 認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP7316714B1 true JP7316714B1 (ja) | 2023-07-28 |
Family
ID=87378531
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023020038A Active JP7316714B1 (ja) | 2023-02-13 | 2023-02-13 | 認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7316714B1 (ja) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000347994A (ja) * | 1999-04-28 | 2000-12-15 | Sun Microsyst Inc | 複数の別々に制御されている限定アクセスリソースを含むネットワークシステム用単一サインオン |
| US20050071645A1 (en) * | 2003-09-25 | 2005-03-31 | International Business Machines Corporation | Algorithmic generation of passwords |
| JP2007035041A (ja) * | 2005-07-26 | 2007-02-08 | Internatl Business Mach Corp <Ibm> | 複数の認証を管理するクライアントベースの方法、システム、およびプログラム |
| JP2009205500A (ja) * | 2008-02-28 | 2009-09-10 | Nec Corp | パスワード入力支援システム、装置、プログラム、および方法 |
| JP2015521309A (ja) * | 2012-04-25 | 2015-07-27 | ロウェム インコーポレイテッド | パスコード運営システム、パスコード装置、及びスーパーパスコードの生成方法 |
| JP6910748B1 (ja) * | 2020-03-16 | 2021-07-28 | 木戸 啓介 | パスワード認証システム |
-
2023
- 2023-02-13 JP JP2023020038A patent/JP7316714B1/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000347994A (ja) * | 1999-04-28 | 2000-12-15 | Sun Microsyst Inc | 複数の別々に制御されている限定アクセスリソースを含むネットワークシステム用単一サインオン |
| US20050071645A1 (en) * | 2003-09-25 | 2005-03-31 | International Business Machines Corporation | Algorithmic generation of passwords |
| JP2007035041A (ja) * | 2005-07-26 | 2007-02-08 | Internatl Business Mach Corp <Ibm> | 複数の認証を管理するクライアントベースの方法、システム、およびプログラム |
| JP2009205500A (ja) * | 2008-02-28 | 2009-09-10 | Nec Corp | パスワード入力支援システム、装置、プログラム、および方法 |
| JP2015521309A (ja) * | 2012-04-25 | 2015-07-27 | ロウェム インコーポレイテッド | パスコード運営システム、パスコード装置、及びスーパーパスコードの生成方法 |
| JP6910748B1 (ja) * | 2020-03-16 | 2021-07-28 | 木戸 啓介 | パスワード認証システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190260747A1 (en) | Securing a transaction performed from a non-secure terminal | |
| JP5764203B2 (ja) | パスワードキーの移動値を利用するパスワード安全入力システム及びそのパスワード安全入力方法 | |
| CN112425118B (zh) | 公钥-私钥对账户登录和密钥管理器 | |
| US8930708B2 (en) | Web-based security authentication | |
| US9590808B2 (en) | Obfuscated passwords | |
| US20060206919A1 (en) | System and method of secure login on insecure systems | |
| KR20180117715A (ko) | 개선된 보안성을 갖는 사용자 인증을 위한 방법 및 시스템 | |
| US20150220718A1 (en) | Method for web service user authentication | |
| JPWO2012046304A1 (ja) | 二要素ユーザ認証システム、およびその方法 | |
| EP2875606A1 (en) | Method and system of login authentication | |
| KR20150023268A (ko) | 거래 인증을 위하여 추출된 무작위 일회용 패스워드 | |
| Archana et al. | Survey on usable and secure two-factor authentication | |
| US11068568B2 (en) | Method and system for initiating a login of a user | |
| TWI540874B (zh) | Identity authentication method, device and system | |
| KR20120087095A (ko) | 실시간 패스워드를 생성하는 장치 및 방법 및 저장 매체 | |
| JP2023532976A (ja) | ユーザの身元の検証のための方法およびシステム | |
| JP7316714B1 (ja) | 認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム | |
| US20230216686A1 (en) | User authentication system, user authentication server, and user authentication method | |
| JP2007065789A (ja) | 認証システム及び方法 | |
| US9407441B1 (en) | Adding entropy to key generation on a mobile device | |
| JP2014075034A (ja) | 認証装置、認証方法および認証プログラム | |
| JP2012079285A (ja) | 二要素ユーザ認証システム、およびその方法 | |
| Cruz | " Out of band" authentication using an Android device | |
| KR20200032857A (ko) | 디지털인감을 이용한 안전한 비밀번호 인증 프로토콜 | |
| JP2017219918A (ja) | サービス提供システム、サービス提供方法、および、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230213 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230217 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230322 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230522 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230705 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230710 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7316714 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |