JPWO2010050192A1 - パスワード再発行方法 - Google Patents
パスワード再発行方法 Download PDFInfo
- Publication number
- JPWO2010050192A1 JPWO2010050192A1 JP2010535666A JP2010535666A JPWO2010050192A1 JP WO2010050192 A1 JPWO2010050192 A1 JP WO2010050192A1 JP 2010535666 A JP2010535666 A JP 2010535666A JP 2010535666 A JP2010535666 A JP 2010535666A JP WO2010050192 A1 JPWO2010050192 A1 JP WO2010050192A1
- Authority
- JP
- Japan
- Prior art keywords
- password
- user
- authentication server
- temporary
- reissue
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2131—Lost password, e.g. recovery of lost or forgotten passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
【課題】パスワードを忘れたユーザに対して、オンラインによる手続で且つ高いセキュリティ環境下でパスワードを再発行することができるパスワード再発行方法を実現する。【解決手段】パスワードの再発行に際し、ユーザ(申込者)は、ユーザにより作成された一時パスワードを認証サーバに送信する。認証サーバは、一時パスワードの受信に応じて、一時パスワード又は初期化パスワードを一時記憶手段に記憶する。続いて、一時パスワードを用いて所定の処理を要求するメッセージを作成する。続いて、ユーザ情報データベースにアクセスし、ユーザIDと対応する電子メールアドレス又はインスタントメッセンジャのアドレスを検索し、検索されたアドレスのユーザ端末に電子メール又はインスタントメッセンジャを介してメッセージを送信する。ユーザは、メッセージの受信に応じて所定の処理を行い、一時パスワード又は初期化パスワードを認証サーバに送信する。認証サーバは、ユーザ端末から受信した一時パスワード又は初期化パスワードが一時記憶手段に記憶されている一時パスワード又は初期化パスワードと一致するか否かを検証する。
Description
本発明は、オンラインサービスシステムにおけるパスワード再発行方法に関するものである。
ネットショッピング、ネット証券サービス、ネットバンキング等の各種オンラインサービスシステムが実用化されている。オンラインサービスでは、本人を確実に確認すること(本人認証)が最も基本的な事項であり、最も重要である。現在のオンラインサービスでは、種々の認証システムが普及しているが、ユーザ IDとパスワードを用いた認証方式が幅広く普及している。この認証方式では、ネットワーク上のWebサーバにログインする場合、認証画面の入力欄にユーザIDとパスワードを入力し、ユーザIDとパスワードとが一致した場合ログインが許可されている。従って、ユーザは、自己のパスワードを記憶しておくことが重要である。しかしながら、自分のパスワードを忘れるユーザも多数存在する。特に、稀にしか使用しないオンラインサービスを利用する場合、パスワードを忘れるケースが多々見受けられる。ユーザがパスワードを忘れた場合、電子証明書の発行や金融取引のアカウント発行等においては、セキュリティを確保する観点より、本人限定受取り郵便を用いてパスワードの通知が行われている。しかし、郵送によりパスワードを再発行するのでは、多くの人手を必要とし、再発行作業が極めて煩雑であるうえ、郵便が届くまでの数日間、ユーザはシステムを利用できない状況となる。一方、パスワードの再発行手続がオンラインで実行できれば、再発行手続を大幅に簡素化する利点が達成される。
オンラインによるパスワード再発行システムとして、電子メールを利用してパスワードを再発行するシステムが提案されている(例えば、特許文献1参照)。 このパスワード再発行システムでは、ユーザ端末からパスワードの再発行の要求があった際、認証サーバからユーザ端末に対してパスワード再発行要求画面が送信され、ユーザが本人認証に必要なデータを入力する。入力されたデータは、ユーザ情報データベースに格納されているユーザ情報と照合され、一致している場合、再発行されたパスワードでユーザ情報データベースの内容が更新されると共に、再発行されたパスワードは電子メールを介してユーザ情報データベースに格納されている当該ユーザの電子メールアドレスに送信されている。
一般的に、電子メールは利便性の高い通信手段であり、各種情報やデータを送信するのに極めて好適である。しかしながら、インターネットを介して情報を送受信する場合、ネットワーク上で盗聴される危険性がある。特に電子メールの場合、ネットワーク上での盗聴に加え、メールを中継するメールサーバ上でも情報漏えいの危険性があり、パスワード等の秘密情報を電子メールで送信することは、セキュリティ上、極めて危険である。さらに、悪意の第三者が正規の会員になりすまして、パスワードの再発行要求を行った場合、甚大な被害が発生する危険性がある。
本発明の目的は、パスワードを忘れたユーザに対して、オンラインによる手続で且つ高いセキュリティ環境下でパスワードを再発行するパスワード再発行方法を実現することにある。
本発明によるパスワード再発行方法は、ユーザIDとパスワードに基づいて本人認証が行われるオンラインサービスシステムにおいて実施されるパスワード再発行方法であって、
前記オンラインサービスシステムは、本人認証を行う認証サーバと、インターネットを介してユーザにメッセージを送信する1つ又は2以上のメッセージ送信手段と、少なくとも、ユーザID、パスワード、及び、前記メッセージ送信手段のユーザアドレスを対として記憶したユーザ情報データベースとを有し、
ユーザ端末から認証サーバに対して、ユーザIDを提示してパスワードの再発行を要求する工程と、
ユーザ端末から認証サーバに対してユーザにより生成された一時パスワードが送信され、又は認証サーバからユーザ端末に対して認証サーバにより生成された一時パスワードが送信される工程と、
前記認証サーバは、ユーザ端末から一時パスワードを受信した後又はユーザ端末に一時パスワードを送信した後、以下の(a)〜(d)の処理を実行する工程と、
(a)認証処理に用いられるデータである初期化パスワードを生成し、生成された初期化パスワードとユーザIDを一時記憶手段に記憶し、
(b)前記初期化パスワードを前記一時パスワードで暗号化して暗号化ファイルを生成し、
(c)ユーザ情報データベースにアクセスし、前記ユーザIDと対をなすメッセージ送信手段のユーザアドレスを検索し、
(d)検索されたユーザアドレスのユーザ端末に、前記暗号化ファイルを含むメッセージを送信し、ユーザに対して当該暗号化ファイルを前記一時パスワードを用いて復号化することを要求し、
前記ユーザは、受信した暗号化ファイルを前記一時パスワードを用いて復号化し、復号化された初期化パスワードを前記認証サーバに送信する工程と、
前記認証サーバは、ユーザ端末から受信した初期化パスワードと前記一時記憶手段に記憶されている初期化パスワードとの間の同一性を検証する工程とを具え、
前記認証サーバは、前記ユーザ端末から受信した初期化パスワードが前記一時記憶手段に記憶されている初期化パスワードと一致しない場合、当該パスワード再発行要求を拒否し、一致する場合当該再発行要求は正当な権限を有するユーザからの再発行要求であると認定することを特徴とする。
前記オンラインサービスシステムは、本人認証を行う認証サーバと、インターネットを介してユーザにメッセージを送信する1つ又は2以上のメッセージ送信手段と、少なくとも、ユーザID、パスワード、及び、前記メッセージ送信手段のユーザアドレスを対として記憶したユーザ情報データベースとを有し、
ユーザ端末から認証サーバに対して、ユーザIDを提示してパスワードの再発行を要求する工程と、
ユーザ端末から認証サーバに対してユーザにより生成された一時パスワードが送信され、又は認証サーバからユーザ端末に対して認証サーバにより生成された一時パスワードが送信される工程と、
前記認証サーバは、ユーザ端末から一時パスワードを受信した後又はユーザ端末に一時パスワードを送信した後、以下の(a)〜(d)の処理を実行する工程と、
(a)認証処理に用いられるデータである初期化パスワードを生成し、生成された初期化パスワードとユーザIDを一時記憶手段に記憶し、
(b)前記初期化パスワードを前記一時パスワードで暗号化して暗号化ファイルを生成し、
(c)ユーザ情報データベースにアクセスし、前記ユーザIDと対をなすメッセージ送信手段のユーザアドレスを検索し、
(d)検索されたユーザアドレスのユーザ端末に、前記暗号化ファイルを含むメッセージを送信し、ユーザに対して当該暗号化ファイルを前記一時パスワードを用いて復号化することを要求し、
前記ユーザは、受信した暗号化ファイルを前記一時パスワードを用いて復号化し、復号化された初期化パスワードを前記認証サーバに送信する工程と、
前記認証サーバは、ユーザ端末から受信した初期化パスワードと前記一時記憶手段に記憶されている初期化パスワードとの間の同一性を検証する工程とを具え、
前記認証サーバは、前記ユーザ端末から受信した初期化パスワードが前記一時記憶手段に記憶されている初期化パスワードと一致しない場合、当該パスワード再発行要求を拒否し、一致する場合当該再発行要求は正当な権限を有するユーザからの再発行要求であると認定することを特徴とする。
本発明による別のパスワード再発行方法は、ユーザIDとパスワードに基づいて本人認証が行われるオンラインサービスシステムにおいて実施されるパスワード再発行方法であって、
前記オンラインサービスシステムは、本人認証を行う認証サーバと、インターネットを介してユーザにメッセージを送信する1つ又は2以上のメッセージ送信手段と、少なくとも、ユーザID、パスワード、及び、前記メッセージ送信手段のユーザアドレスを対として記憶したユーザ情報データベースとを有し、
ユーザ端末から認証サーバに対して、ユーザIDを提示してパスワードの再発行を要求する工程と、
ユーザ端末から認証サーバに対してユーザにより生成された一時パスワードが送信され、又は認証サーバからユーザ端末に対して認証サーバにより生成された一時パスワードが送信される工程と、
前記認証サーバは、ユーザ端末から一時パスワードを受信した後又はユーザ端末に一時パスワードを送信した後、以下の(a)〜(d)の処理を実行する工程と、
(a)ユーザ端末から受信した一時パスワード又はユーザ端末に送信した一時パスワードとユーザIDを一時記憶手段に記憶し、
(b)ユーザを誘導するためのURL含むメッセージを生成し、
(c)ユーザ情報データベースにアクセスし、前記ユーザIDと対をなすメッセージ送信手段のユーザアドレスを検索し、
(d)検索されたユーザアドレスのユーザ端末に、前記メッセージを送信し、ユーザに対して前記URLに前記一時パスワードを入力することを要求し、
前記ユーザは、前記認証サーバから受信したメッセージに含まれるURLにアクセスして前記一時パスワードを入力する工程と、
前記認証サーバは、ユーザにより入力された一時パスワードと前記一時記憶手段に記憶されている一時パスワードとの間の同一性を検証する工程とを具え、
前記認証サーバは、前記ユーザ端末から受信した一時パスワードが前記一時記憶手段に記憶されている一時パスワードと一致しない場合、当該パスワード再発行要求を拒否し、一致する場合当該再発行要求は正当な権限を有するユーザからの再発行要求であると認定することを特徴とする。
前記オンラインサービスシステムは、本人認証を行う認証サーバと、インターネットを介してユーザにメッセージを送信する1つ又は2以上のメッセージ送信手段と、少なくとも、ユーザID、パスワード、及び、前記メッセージ送信手段のユーザアドレスを対として記憶したユーザ情報データベースとを有し、
ユーザ端末から認証サーバに対して、ユーザIDを提示してパスワードの再発行を要求する工程と、
ユーザ端末から認証サーバに対してユーザにより生成された一時パスワードが送信され、又は認証サーバからユーザ端末に対して認証サーバにより生成された一時パスワードが送信される工程と、
前記認証サーバは、ユーザ端末から一時パスワードを受信した後又はユーザ端末に一時パスワードを送信した後、以下の(a)〜(d)の処理を実行する工程と、
(a)ユーザ端末から受信した一時パスワード又はユーザ端末に送信した一時パスワードとユーザIDを一時記憶手段に記憶し、
(b)ユーザを誘導するためのURL含むメッセージを生成し、
(c)ユーザ情報データベースにアクセスし、前記ユーザIDと対をなすメッセージ送信手段のユーザアドレスを検索し、
(d)検索されたユーザアドレスのユーザ端末に、前記メッセージを送信し、ユーザに対して前記URLに前記一時パスワードを入力することを要求し、
前記ユーザは、前記認証サーバから受信したメッセージに含まれるURLにアクセスして前記一時パスワードを入力する工程と、
前記認証サーバは、ユーザにより入力された一時パスワードと前記一時記憶手段に記憶されている一時パスワードとの間の同一性を検証する工程とを具え、
前記認証サーバは、前記ユーザ端末から受信した一時パスワードが前記一時記憶手段に記憶されている一時パスワードと一致しない場合、当該パスワード再発行要求を拒否し、一致する場合当該再発行要求は正当な権限を有するユーザからの再発行要求であると認定することを特徴とする。
パスワードを忘れたユーザに対してパスワードを再発行する場合、ユーザ登録の際にユーザ情報データベースに記憶したユーザ情報と再発行の申込を行った者との間の関連性を確認し、関連性が認められない場合パスワードの再発行を拒否しなければならない。申込者とユーザ情報データベースに記憶されているユーザ情報との間の関連性を確認する方法として、データベースに記憶されているユーザ情報を認証情報として用い、申込者に対して特定のユーザ情報を入力させ、申込者により入力されたユーザ情報とデータベースに記憶されているユーザ情報との間の同一性を検証する方法がある。例えば、特開2003−122718号公報に記載の本人認証方法では、ユーザ登録の際に合言葉パスワードをユーザ情報データベースに記憶し、ユーザからパスワードの発行要求があった際ユーザに対して合言葉を入力させ、入力された合言葉とデータベースに記憶されている合言葉との間の同一性が検証されている。しかしながら、パスワードの再発行は、ユーザ登録されてから相当長い期間経過後に行われるため、ユーザ情報データベースに記憶されているユーザ情報は、パスワードと同様に忘れてしまう可能性が高いものである。他方において、ユーザ情報として、ユーザが思い出し易い生年月日や会社名を本人認証のキーワードとして使用することも可能である。しかしながら、生年月日や会社名は第三者に容易に知られる危険性が高いため、セキュリティのレベルが低下する不具合が生じてしまう。
このようなパスワード再発行の特殊性を鑑み、本発明では、再発行の申込者とユーザ情報データベースに記憶されているユーザ情報との関連性を確認する認証情報として、ユーザ情報データベースに登録されているメッセージ送信手段のユーザアドレス、例えば電子メールアドレスを用いる。ユーザ情報データベースに登録されている電子メールアドレスを認証情報として用いて本人認証確認する方法として、申込を行ったユーザに対して電子メールアドレスを入力させ、入力された電子メールアドレスとデータベースに登録されている電子メールアドレスとの間の同一性を直接検証する方法がある。しかしながら、電子メールアドレスは公開されているため、悪意の第三者がユーザIDと共に電子メールアドレスを知っている可能性がある。従って、ユーザに対して電子メールアドレスを直接入力させてその同一性を検証する方法でと、セキュリティ上問題がある。
そこで、本発明では、電子メールアドレスを直接検証するのではなく、メッセージ送信手段である電子メールやインスタントメッセンジャを本人認証のツールとして利用する。また、直接検証される認証情報として、再発行の申込の際にユーザ又は認証サーバにより生成された一時パスワード又は一時パスワードと関連する情報(第1実施例の初期化パスワード)を用いる。本人認証に際し、認証サーバは、電子メールを介して再発行要求を行ったユーザに対して電子メールを送信し、ユーザにより作成された一時パスワード又は認証サーバにより生成され認証サーバからユーザ端末に送信された一時パスワードを用いて所定の処理を行うことを求め、認証サーバからの要求に対して適切な応答が行われたか否かを以て本人認証を行う。すなわち、一時パスワードは、再発行の申込を行ったユーザ又は認証サーバにより作成されユーザ本人しか知らない情報であるから、認証サーバからの処理要求に対して応答できる者は、電子メールを受取った者であり且つ一時パスワードを知っている者に限られ、盗聴者は応答することができない。従って、認証サーバからの要求に応答できたことは、ユーザ情報データベースに記憶されている電子メールアドレスを有する申込者、すなわち、正規のユーザであると判断することができる。
電子メールによるメッセージ送信を利用した本人認証方法は、簡易な認証方法であるものの、電子メールが盗聴され易い危険性があり、盗聴によるなりすましに対する防護対策が必要である。この場合、本願発明では、認証サーバから送信される電子メールの内容は、再発行要求を行ったユーザ本人しか知らない一時パスワードを用いて処理を実行することを内容としている。従って、認証サーバからユーザ端末に送信された電子メールが悪意の者により盗聴されても、当該悪意の者は一時パスワードを知ることができないため、認証サーバからの要求に対し応答することができず、当該再発行要求はエラーとして処理されることになる。従って、悪意の第三者による盗聴に対して高いセキュリティ上の効果が及び有効な防護対策が発揮される。このように、本発明では、電子メールの盗聴に対する防護対策が講じられており、高いセキュリティ環境下でパスワードを再発行することが可能となる。
本人認証を行うツールとして用いられるメッセージ送信手段は、電子メールだけでなく、リアルタイムでメッセージの送受信が行われるインスタントメッセンジャやショートメッセージサービスを利用することも可能であり、或いは電子メールとインスタントメッセンジャの両方を利用することも可能である。インスタントメッセンジャの例として、Windowos live メッセンジャ、AOL インスタントメッセンジャ、ヤフー メッセンジャ、Google Talk、インターネット電話のSKYPE 等を利用することができる。これらのメッセージ送信システムは、一般のユーザに開放されており、ユーザはインスタントメッセンジャのサービス提供者からユーザIDを取得することにより自由に利用することが可能であり、取得したユーザIDはアドレス情報として利用される。従って、ユーザ登録時に電子メールアドレスと共にインスタントメッセンジャのユーザアドレス(ユーザID)も登録することができる。この場合、認証サーバは、インターネットに接続されたインスタントメッセンジャサーバを介してメッセージを送信し、ユーザに対して所定の処理を要求することができる。
本発明によるパスワード再発行方法は、パスワードを忘れた場合だけでなく、パスワードとユーザIDの両方を忘れた場合にも適切に対応することが可能である。この場合、ユーザIDではなくメッセージ送信手段のアドレス情報を用いて本人認証を行う。すなわち、電子メールの場合は電子メールアドレス、インスタントメッセンジャの場合は、インスタントメッセンジャのユーザID、ショートメッセージサービスの場合は電話番号を用いる。
このパスワード再発行方法は、ユーザIDとパスワードに基づいて本人認証が行われるオンラインサービスシステムにおいて実施されるパスワード再発行方法であって、
前記オンラインサービスシステムは、本人認証を行う認証サーバと、インターネットを介してユーザにメッセージを送信する1つ又は2以上のメッセージ送信手段と、少なくとも、ユーザID、パスワード、及び、前記メッセージ送信手段のユーザアドレスを対として記憶したユーザ情報データベースとを有し、
ユーザ端末から認証サーバに対して前記メッセージ送信手段のユーザアドレスを提示してパスワードの再発行を要求する工程と、
前記認証サーバは、ユーザ情報データベースにアクセスし、ユーザにより提示されたユーザアドレスがユーザ情報データベースに登録されているか否かを検証し、登録されていない場合エラーとして処理する工程と、
ユーザ端末から認証サーバに対してユーザにより生成された一時パスワードが送信され、又は認証サーバからユーザ端末に対して認証サーバにより生成された一時パスワードが送信される工程と、
前記認証サーバは、ユーザ端末から一時パスワードを受信した後又はユーザ端末に一時パスワードを送信した後、以下の(a)〜(d)の処理を実行する工程と、
(a)認証処理に用いられるデータである初期化パスワードを生成し、生成された初期化パスワードとユーザアドレス又はユーザIDとを一時記憶手段に記憶し、
(b)前記初期化パスワードを前記一時パスワードで暗号化して暗号化ファイルを生成し、
(c)前記ユーザにより提示されたユーザアドレスのユーザ端末に、前記暗号化ファイルを含むメッセージを送信し、ユーザに対して当該暗号化ファイルを前記一時パスワードを用いて復号化することを要求し、
前記ユーザは、受信した暗号化ファイルを前記一時パスワードを用いて復号化し、復号化された初期化パスワードを前記認証サーバに送信する工程と、
前記認証サーバは、ユーザ端末から受信した初期化パスワードと前記一時記憶手段に記憶されている初期化パスワードとの間の同一性を検証する工程とを具え、
前記認証サーバは、前記ユーザ端末から受信した初期化パスワードが前記一時記憶手段に記憶されている初期化パスワードと一致しない場合、当該パスワード再発行要求を拒否し、一致する場合当該再発行要求は正当な権限を有するユーザからの再発行要求であると認定することを特徴とする。
このパスワード再発行方法は、ユーザIDとパスワードに基づいて本人認証が行われるオンラインサービスシステムにおいて実施されるパスワード再発行方法であって、
前記オンラインサービスシステムは、本人認証を行う認証サーバと、インターネットを介してユーザにメッセージを送信する1つ又は2以上のメッセージ送信手段と、少なくとも、ユーザID、パスワード、及び、前記メッセージ送信手段のユーザアドレスを対として記憶したユーザ情報データベースとを有し、
ユーザ端末から認証サーバに対して前記メッセージ送信手段のユーザアドレスを提示してパスワードの再発行を要求する工程と、
前記認証サーバは、ユーザ情報データベースにアクセスし、ユーザにより提示されたユーザアドレスがユーザ情報データベースに登録されているか否かを検証し、登録されていない場合エラーとして処理する工程と、
ユーザ端末から認証サーバに対してユーザにより生成された一時パスワードが送信され、又は認証サーバからユーザ端末に対して認証サーバにより生成された一時パスワードが送信される工程と、
前記認証サーバは、ユーザ端末から一時パスワードを受信した後又はユーザ端末に一時パスワードを送信した後、以下の(a)〜(d)の処理を実行する工程と、
(a)認証処理に用いられるデータである初期化パスワードを生成し、生成された初期化パスワードとユーザアドレス又はユーザIDとを一時記憶手段に記憶し、
(b)前記初期化パスワードを前記一時パスワードで暗号化して暗号化ファイルを生成し、
(c)前記ユーザにより提示されたユーザアドレスのユーザ端末に、前記暗号化ファイルを含むメッセージを送信し、ユーザに対して当該暗号化ファイルを前記一時パスワードを用いて復号化することを要求し、
前記ユーザは、受信した暗号化ファイルを前記一時パスワードを用いて復号化し、復号化された初期化パスワードを前記認証サーバに送信する工程と、
前記認証サーバは、ユーザ端末から受信した初期化パスワードと前記一時記憶手段に記憶されている初期化パスワードとの間の同一性を検証する工程とを具え、
前記認証サーバは、前記ユーザ端末から受信した初期化パスワードが前記一時記憶手段に記憶されている初期化パスワードと一致しない場合、当該パスワード再発行要求を拒否し、一致する場合当該再発行要求は正当な権限を有するユーザからの再発行要求であると認定することを特徴とする。
さらに、本発明によるパスワード再発行方法は、ユーザIDとパスワードに基づいて本人認証が行われるオンラインサービスシステムにおいて実施されるパスワード再発行方法であって、
前記オンラインサービスシステムは、本人認証を行う認証サーバと、インターネットを介してユーザにメッセージを送信する1つ又は2以上のメッセージ送信手段と、少なくとも、ユーザID、パスワード、及び、前記メッセージ送信手段のユーザアドレスを対として記憶したユーザ情報データベースとを有し、
ユーザ端末から認証サーバに対して前記メッセージ送信手段のユーザアドレスを提示してパスワードの再発行を要求する工程と、
前記認証サーバは、ユーザ情報データベースにアクセスし、ユーザにより提示されたユーザアドレスがユーザ情報データベースに登録されているか否かを検証し、登録されていない場合エラーとして処理する工程と、
ユーザ端末から認証サーバに対してユーザにより生成された一時パスワードが送信され、又は認証サーバからユーザ端末に対して認証サーバにより生成された一時パスワードが送信される工程と、
前記認証サーバは、ユーザ端末から一時パスワードを受信した後又はユーザ端末に一時パスワードを送信した後、以下の(a)〜(c)の処理を実行する工程と、
(a)ユーザ端末から受信した一時パスワード又はユーザ端末に送信した一時パスワードとユーザアドレス又はユーザIDとを一時記憶手段に記憶し、
(b)ユーザを誘導するためのURL含むメッセージを生成し、
(c)ユーザにより提示されたユーザアドレスのユーザ端末に、前記メッセージを送信し、ユーザに対して前記URLに前記一時パスワードを入力することを要求し、
前記ユーザは、前記認証サーバから受信したメッセージに含まれるURLにアクセスして前記一時パスワードを入力する工程と、
前記認証サーバは、ユーザにより入力された一時パスワードと前記一時記憶手段に記憶されている一時パスワードとの間の同一性を検証する工程とを具え、
前記認証サーバは、前記ユーザ端末から受信した一時パスワードが前記一時記憶手段に記憶されている一時パスワードと一致しない場合、当該パスワード再発行要求を拒否し、一致する場合当該再発行要求は正当な権限を有するユーザからの再発行要求であると認定することを特徴とする。
前記オンラインサービスシステムは、本人認証を行う認証サーバと、インターネットを介してユーザにメッセージを送信する1つ又は2以上のメッセージ送信手段と、少なくとも、ユーザID、パスワード、及び、前記メッセージ送信手段のユーザアドレスを対として記憶したユーザ情報データベースとを有し、
ユーザ端末から認証サーバに対して前記メッセージ送信手段のユーザアドレスを提示してパスワードの再発行を要求する工程と、
前記認証サーバは、ユーザ情報データベースにアクセスし、ユーザにより提示されたユーザアドレスがユーザ情報データベースに登録されているか否かを検証し、登録されていない場合エラーとして処理する工程と、
ユーザ端末から認証サーバに対してユーザにより生成された一時パスワードが送信され、又は認証サーバからユーザ端末に対して認証サーバにより生成された一時パスワードが送信される工程と、
前記認証サーバは、ユーザ端末から一時パスワードを受信した後又はユーザ端末に一時パスワードを送信した後、以下の(a)〜(c)の処理を実行する工程と、
(a)ユーザ端末から受信した一時パスワード又はユーザ端末に送信した一時パスワードとユーザアドレス又はユーザIDとを一時記憶手段に記憶し、
(b)ユーザを誘導するためのURL含むメッセージを生成し、
(c)ユーザにより提示されたユーザアドレスのユーザ端末に、前記メッセージを送信し、ユーザに対して前記URLに前記一時パスワードを入力することを要求し、
前記ユーザは、前記認証サーバから受信したメッセージに含まれるURLにアクセスして前記一時パスワードを入力する工程と、
前記認証サーバは、ユーザにより入力された一時パスワードと前記一時記憶手段に記憶されている一時パスワードとの間の同一性を検証する工程とを具え、
前記認証サーバは、前記ユーザ端末から受信した一時パスワードが前記一時記憶手段に記憶されている一時パスワードと一致しない場合、当該パスワード再発行要求を拒否し、一致する場合当該再発行要求は正当な権限を有するユーザからの再発行要求であると認定することを特徴とする。
オンラインサービスシステムでは、パスワードだけでなくユーザIDを忘れるユーザも多数存在する。このような場合、パスワード及びユーザIDの両方を忘れたユーザに対してパスワードの再発行を拒否したのでは、多数の不使用のユーザIDが存在する不具合が生じてしまう。一方、多くのオンラインサービスシステムでは、ユーザ登録に際しユーザIDと共に電子メールアドレスを事前に登録するシステムが採用されている。また、電子メールアドレスは広く実際的に使用されているため、ユーザ自身忘れることはないものである。また、たとえ忘れたとしてもメールのアカウント情報で簡単に確認できる。このような実情を考慮し、本発明では、ユーザIDに基づいて本人確認する場合だけでなく、ユーザの電子メールアドレスに基づいて本人確認を行う。すなわち、パスワード及びユーザIDの両方を忘れたユーザからのパスワード再発行要求については、本人確認に際し電子メールアドレス等のユーザアドレスを入力させ、入力されたユーザアドレスがユーザ情報データベースに登録されているか否かを検証する。入力されたユーザアドレスが登録されている場合、当該パスワードの再発行要求は正規の会員からの要求であるとみなし、パスワード再発行処理が行われる。この結果、パスワード及びユーザIDの両方を忘れたユーザについても高いセキュリティ環境下においてパスワードを再発行することができる。
なお、同様の観点から、インスタントメッセンジャのユーザIDに基づいて本人確認を行うことも、ショートメッセージサービスの電話番号を用いることも可能である。インスタントメッセンジャのIDを忘れた場合は、アイコンをクリックすることでID情報を確認できる。
本発明によるパスワード再発行方法の好適実施例は、ユーザ情報データベースには、ユーザ端末に固有の識別情報がユーザIDと共に記憶され、前記認証サーバは、ユーザ端末に格納されている固有の識別情報を検出する手段と、検出された識別情報がユーザ情報データベースに記憶されている識別情報と一致するか否かを検証する手段とを有し、ユーザ端末からパスワードの再発行要求がされた際、当該ユーザ端末に格納されている固有の識別情報を検出し、検出された識別情報がユーザ情報データベースに格納されている識別情報と一致する場合に限りパスワードの再発行処理に移行することを特徴とする。ユーザ端末に固有の識別情報としてクッキー情報や通信MACアドレスを用いることができる。パスワードを再発行する際、ユーザ端末に固有の識別情報についても検証すれば、ユーザ登録を行ったユーザ端末に対してだけパスワードの再発行が許容されるので、なりすまし対策として一層有効であり、一層強固なセキュリティを確保することができる。
本発明では、本人認証に際し、再発行要求を行ったユーザに対して、電子メール又はインスタントメッセンジャ等のメッセージ送信手段を介してメッセージを送信し、ユーザ又は認証サーバにより作成されユーザ本人しか知らない一時パスワードを用いて所定の処理を行うことを求め、ユーザにより適切な応答が行われたか否かを以て本人認証が行われる。従って、盗聴から強固に防護され、高いセキュリティ環境下でパスワードが再発行される。
図1は、本発明によるパスワード再発行方法が実施されるオンラインサービスシステムの全体構成を示す線図である。本例では、オンラインサービスシステムの認証サーバからユーザ端末にメッセージを送信する手段として電子メールを用いる。ネットワーク(インターネット)1には、ネット証券サービス、ネットショッピング、ネットバンキング等の各種の業務に係るオンラインサービスを提供するオンラインサービスシステム2が接続されると共に複数のユー ザ端末3a〜3nが接続されている。オンラインサービスシステム2は、ネットワーク1を介してユーザ端末との間においてSSL暗号で保護された通信セッションを行う。当該オンラインサービスシステム2は、ユーザIDとパスワードを用いて本人認証を行う認証サーバ4と、所定の業務に係るオンラインサービスを提供する業務アプリケーションサーバ5と、ユーザに関する情報を記憶したユーザ情報データベース6とを有する。ユーザ情報データベース6には、ユーザ登録を行う際に、ユーザID、パスワード、電子メールアドレス、氏名、電話番号、住所、組織情報、権限情報、電子証明書等の各種情報が記憶される。さらに、ユー ザ情報データベースには、各会員が使用するユーザ端末に固有の識別情報であるクッキー情報や通信MACアドレスをユーザIDと共に記憶することができる。さらに、オンラインサービスシステム2には、ユーザ端末に対して各種情報を送る電子メールサーバ7が接続され、アカウント発行時に予め登録した電子メールアドレスを用いて種々のメッセージ送信が行われる。尚、認証サーバ4及び業務アプリケーションサーバ5は個別のWebサーバとして構成することも可能である。
図2は本発明による認証サーバの一例を示す線図であり、図3及び図4はパスワードの再発行処理を行う際のユーザ端末のモニタ上に表示される画面情報を示す。認証サーバは、通信手段10及びセッション管理手段11を有し、ユーザ端末3a〜3nとの間においてSSL暗号で保護された通信セッションを行う。 認証サーバ4は、ユーザ端末3からのアクセス要求を受信すると、認証画面送信手段12が起動し、当該ユーザ端末に対して認証画面を送信する。認証画面の一例を図3Aに示す。認証画面は、ユーザIDを入力するための入力欄12aと、パスワードを入力するための入力欄12bと、パスワードの再発行要求を行うためのクリックボタン12cとが表示される。従って、パスワードを忘れたユーザは、認証画面を見て、パスワード再発行用のクリックボタン12cを押すだけでパスワードの再発行要求手続を行うことができる。
ユーザ端末からユーザID及びパスワードが入力されると、認証手段13が作動して、本人認証が行われる。本人認証は、初めに、入力されたユーザIDが当該オンラインサービスシステムの正式な会員のユーザIDであるか否かが審査される。正式な会員のユーザIDであることが確認された場合、入力されたユーザ IDをキーにしてユーザ情報データベース6が照合され、ユーザIDとパスワードとが一致するか否か判断され、パスワードが一致する場合、本人であると判定する。
正式なユーザID並びに当該ユーザIDに対して正しいパスワードが入力された場合、認証手段13は、本人認証を終了し、ログインを成立させ、業務アプリケーション5の初期画面に移行させる。
ユーザIDが入力され、且つ再発行要求ボタン12cがクリックされた場合、認証サーバは、ユーザ情報データベースにアクセスし、入力されたユーザIDが正式なユーザIDであるか否か審査する。正式な会員のユーザIDであると判断した場合、正式な会員からのパスワードの再発行要求手続がされたものと判断し、パスワード再発行処理に移行する。
一方、ユーザがパスワードと共にユーザIDも失念した場合、図3Bの画面に移行し、正式な会員からの再発行要求か否か判断することも可能である。この場合、認証サーバは、再発行要求者に、ユーザ情報データベースに事前登録した情報の入力を要求する。図3Bの例では、氏名、電話番号、住所、及び電子メールアドレスのうち、本人であれば忘れようのない名前とメールアドレスを必須項目としている。
ユーザIDを忘れる可能性があることを考慮して、ユーザIDの代わりに電子メールアドレスを入力させ、電子メールアドレスを用いて本人認証することも可能である。電子メールアドレスは、各ユーザにとって特有な情報であり、ユーザIDとほぼ同等な識別力を有する情報である。従って、本発明においては、ユーザが自己のユーザIDを失念した場合、電子メールアドレスを入力させ、入力された電子メールアドレスを用いて本人認証を行う。この場合、認証サーバは、入力された電子メールアドレスをキーとしてユーザ情報データベース6を検索し、入力された電子メールアドレスと同一の電子メールアドレスがユーザ情報データベースに存在するか否かを確認する。入力された電子メールアドレスと同一の電子メールアドレスが検索された場合、パスワード再発行処理工程に移行する。
ユーザによりパスワード再発行要求ボタン12cがクリックされると、一時パスワード入力画面送信手段14が作動し、図4Aに示す一時パスワード入力画面情報をユーザ端末に送信し、一時パスワードの入力を要求する。ユーザは、モニタ上に表示された一時パスワード入力画面を見て、任意の一時パスワードを入力する。 尚、一時パスワードは、後述する暗号化処理に一時的に用いられ、再発行要求を行った者しか知らないパスワードである。例えば、一時パスワードとして4桁又は8桁の数列を用いることができる。
認証サーバは、ユーザから一時パスワードが入力されたことを確認すると、初期化パスワード生成手段15を作動させて、乱数にて初期化パスワードを生成する。この初期化パスワードは、一時的にログインするために用いられるパスワードである。生成された初期化パスワード及びユーザIDは、再発行要求日時情報と共に更新一時データベース16に格納する。さらに、認証サーバは暗号化手段17を作動させ、生成された初期化パスワードを、ユーザから入力された一時パスワードで暗号化する。次に、当該ユーザIDを用いてユーザ情報データベース6にアクセスし、当該ユーザIDに対応する電子メールアドレスを取得する。そして、電子メールサーバ7を介して当該メールアドレスのユーザ端末に暗号化したファイルを送信し、一時パスワードを用いて暗号化ファイルを復号化することを求める。尚、パスワードロックできる暗号化ファイルとして、圧縮・暗号が 一体となったzip形式のファイルやLha形式のファイルを用いることができる。尚、復号化のためのプログラムは、一般的にユーザ端末に実装されており、実装されていない場合適当なサイトからダウンロードすることができる。
認証サーバからユーザ端末に送信される電子メールには、指定したURLがテキストとして記載されると共に暗号化された初期化パスワードが添付ファイルとして送信される。よって、ユーザは、テキストに記載されたガイドにしたがって、暗号化された初期化パスワードを自分が設定した一時パスワードで復号化し、指定されたURLからログインして復号化した初期化パスワードを入力する。ユーザから入力された初期化パスワードは、検証手段18により、更新一時データベースに格納されている初期化パスワードと一致するか否かが検証される。この暗号化された初期化パスワードを復号化できるか否かにより、ユーザIDについての本人確認と、 再発行手続を行った者とパスワード再発行要求を行った者との間の同一性確認の2回の検証作業が同時に行われる。すなわち、認証サーバから送信された電子メールを受信できるか否かにより、ユーザIDを提示してパスワードの再発行要求を行った者が、当該ユーザIDの正当な所有者か否か確認される。さらに、再発行手続を行った者とパスワード再発行要求を行った者との間の同一性が確認される。すなわち、ユーザにより設定されユーザ本人しか知らない一時パスワードにより暗号化された初期化パスワードは、ユーザIDと対の関係にある電子メールアドレスに送信される。従って、当該ユーザIDの正式な所有者しか電子メールを受信することができず、 一時パスワードを知っている本人しか復号化できない。従って、ユーザ端末から送信された初期化パスワードが更新一時データベースに格納されている初期化パスワードと一致することを確認することにより、ユーザIDについての本人確認と共に再発行の手続を行った者とパスワードの再発行要求を行った者との間の同一性確認が同時に行われる。
認証サーバは、ユーザ端末に電子メールを送信した後所定の時間期間内に初期化パスワードが入力されたか否かを確認する時間確認手段19を有し、認証サーバからユーザ端末に対して電子メールが送信された後所定の時間期間内にユーザ端末から一時パスワードが入力されなかった場合、当該パスワードの再発行要求を拒否する。すなわち、認証サーバからユーザ端末に送信される電子メールは、ユーザ情報データに登録されているユーザIDの正式な電子メールアドレスに送信されるから、電子メールを送信してから所定の時間期間内にユーザ端末から応答がなかったことは、再発行要求を行った者がパスワードの再発行について正当な権限を有していない者であると認められ、当該再発行要求を拒否する。これにより、なりすましが防止される。
初期化パスワードの一致性の確認が終了すると、パスワード変更画面送信手段20を作動させて、パスワード変更画面情報をユーザ端末に送信する。
ユーザは、一時パスワードで復号化した初期化パスワードを、図4Bに示す初期化パスワードの入力欄に入力してログインすると共に、変更された新たなパスワードを入力欄に入力し、さらに確認のための変更パスワードも入力する。
入力された変更パスワードは、パスワード更新手段21に供給され、ユーザ情報データベースの当該ユーザのパスワードが新たなパスワードに更新され、パスワードの再発行処理が終了する。尚、新たなパスワードとして、ユーザ端末から認証サーバに送信された一時パスワードを用いることも可能である。この場合、図4(A)に示す一時パスワード入力画面に、一時パスワードは変更された新たなパスワードとして用いられる旨表示する。或いは、図4(B)に示すパスワード変更画面に、初期化パスワードと共に変更パスワードとして一時パスワードを入力させてもよい。
図5は、本発明によるオンラインサービスシステムにおいて実行されるパスワード再発行処理の一連の動作を示すフローチャートである。ユーザ端末からのアクセスに応じて、ユーザ端末に認証画面情報を送信する(ステップ1)。
ユーザ端末からユーザID及びパスワードが入力された場合、ユーザ情報データベースに照合し、当該ユーザID及びパスワードについて本人確認を行う。本人確認された場合、業務アプリケーションサーバの初期画面に移行する。一方、ユーザIDが入力されると共にパスワードの再発行要求ボタンがクリックされた場合、パスワードの再発行要求であると認定し、再発行処理に移行する(ステップ2)。
認証サーバは、ユーザ端末に対して一時パスワード入力画面情報を送信する。ユーザは、一時パスワードを任意に生成し、入力欄に作成した一時パスワードを入力する(ステップ3)。
ユーザ端末から一時パスワードが入力されると、認証サーバは乱数を用いて初期化パスワードを生成する(ステップ4)。
生成された初期化パスワードは、当該ユーザIDと共に一時記憶データベースに記憶する(ステップ5)。
認証サーバは、生成した初期化パスワードを一時パスワードを用いて暗号化し暗号化ファイルを作成する。また、添付した暗号化ファイルを一時パスワードを用いて復号化することを要求するメッセージを作成する。さらに、ユーザ情報データベースにアクセスして当該ユーザIDと対となる電子メールアドレスを取り出し、検索された電子メールアドレスのユーザ端末に暗号化ファイルが添付されたメッセージを送信する(ステップ6)。
ユーザは、電子メールを受信し、ユーザ自身が設定した一時パスワードを用いて受信した暗号化ファイルを復号化する(ステップ7)。さらに、ユーザは、復号化された初期化パスワードを入力画面に入力する(ステップ8)。
入力された初期化パスワードは、時間確認手段により電子メールが送信されてから所定の時間期間内に入力されたか否かが確認される(ステップ9)。所定の時間期間内に入力されない場合、当該パスワードの再発行要求はエラーとして処理する。一方、所定の時間期間内に入力された場合、入力された初期化パスワードが更新一時 データベースに格納されている初期化パスワードと一致するか否か検証され、一致しない場合当該パスワード再発行要求はエラーとして処理する。一致する場合、当該再発行 要求は正当な権限を有するユーザからの再発行要求であると認定する(ステップ10)。
正当な権限を有する者からのパスワード再発行と認定された場合、パスワード変更画面が送信され、ユーザから新たなパスワードが入力される。そして、パスワード変更手段は、ユーザ情報データベースの当該ユーザIDのパスワードを変更された新たなパスワードで書き換え、パスワード再発行処理が終了する。
次に、本発明による別のパスワード再発行方法について説明する。図6は、認証サーバの構成を示す線図である。本例では、URLとURLパラメータとが埋め込まれたメッセージを用いて本人確認を行う。尚、図2で用いた構成要素と同一の構成要素には同一符号を付して説明する。認証サーバは、ユーザからのパスワード再発行要求を受信すると、一時パスワード入力画面送信手段14が作動し、ユーザ端末に対し一時パスワード入力画面情報が送信される。ユーザは、一時パスワードを作成して入力画面に入力する。一時パスワードが入力されると、ユーザIDと一時パスワードとを組として更新一時データベース16に格納する。
次に、初期化URL作成手段30が作動し、少なくともユーザIDと変更要求の日時情報(時刻情報)と含む情報を認証サーバの暗号鍵で暗号化してURLパラメータを生成する。生成したURLパラメータとパスワード変更画面に誘導するためのURLとを含む電子メールを作成し、電子メールサーバ7を介して当該ユーザ端末に送信する。この場合、ユーザ情報データベースに照合して、当該ユーザIDの電子メールアドレスを取り出し、ユーザIDに対応する電子メールアドレス宛てに電子メール を送信する。作成された電子メールの一例を図7Aに示す。
ユーザが、指定されたURLにアクセスすると、パスワード変更画面送信手段31が作動し、パスワード変更画面情報を表示する。パスワード変更画面の一例を図7Bに示す。パスワード変更画面は、一時パスワードを入力する入力欄31a、変更された新たなパスワードを入力する入力欄31b、及び確認のための変更パスワードを入力する入力欄31cが含まれる。
ユーザは、パスワード変更画面の入力欄に一時パスワード及び変更した新たなパスワードを入力する。入力された一時パスワードは読み取られ、検証手段18において、更新一時データベースに格納されている一時パスワードと照合され、格納されている一時パスワードと一致するか否かが検証される。電子メールアドレスは当該ユーザIDの所有者しか知らないアドレスであると共に一時パスワードは、設定したユーザだけしか知らないパスワードであるから、入力された一時パスワードと一時データベースに格納されている一時パスワードとを照合することにより、本人認証が行われると共に再発行要求を行った者と再発行手続を行った者との間の同一性確認が同時に行われる。
さらに、認証サーバからユーザ端末に対して電子メールが送信された後所定の時間期間内にユーザ端末から一時パスワードが入力されたか否かが時間確認手段19により確認され、認証サーバからユーザ端末に対して電子メールが送信された後所定の時間期間内にユーザ端末から一時パスワードが入力されない場合、正当な権限を有しない者によるパスワード再発行要求とみなし、当該パスワードの再発行要求はエラーとして処理する。
入力された一時パスワードが更新一時データベースに格納されている一時パスワードと一致する場合、入力された新たなパスワードは、パスワード更新手段21に供給され、ユーザ情報データベースに記憶されている当該ユーザIDのパスワードを新たなパスワードに書き換え、パスワードの再発行処理が終了する。尚、新たなパスワードとして、ユーザ端末から認証サーバに送信された一時パスワードを用いることも可能である。この場合、図7(B)に示すパスワード変更画面に、一時パスワードと共に変更パスワードとして一時パスワードを入力させてもよい。或いは、変更パスワードの欄を削除し、一時パスワードが新たなパスワードとして用いられる旨記載することもできる。一時パスワードを変更された新たなパスワードとして用いる場合、パスワード更新手段21は、更新一時データベースに記憶されている一時パスワードを用いてユーザ情報データベースの対応するパスワードを一時パスワードで書き換えることができる。
図8は、上述した認証サーバの再発行処理における一連の動作を示すフローチャートである。ユーザ端末からのアクセスに応じて、認証サーバから当該ユーザ端末に認証画面情報を送信する(ステップ20)。ユーザは、ユーザIDを提示してパスワードの再発行要求を行う(ステップ21)。認証サーバは、ユーザ端末に対して一時パスワードの入力画面情報を送信する(ステップ22)。
ユーザが一時パスワードを入力すると、入力された一時パスワードはユーザIDと共に更新一時データベースに格納される(ステップ23)。
次に、ユーザIDと再発行要求の日時情報とを含む情報を認証サーバの暗号鍵で暗号化してURLパラメータを作成する(ステップ24)。そして、作成したURLパラメータとパスワード変更画面へ誘導するためのURLとを含む電子メールが作成され、当該電子メールを当該ユーザIDの電子メールアドレスへ送信する(ステップ25)。
ユーザは、URLを含む電子メールの受信し、指定されたURLにアクセスして一時パスワードを再入力する(ステップ26)。
次に、認証サーバは、電子メールを送信した後所定の時間期間内にユーザが一時パスワードを入力したか否を確認する(ステップ27)。認証サーバは、所定の時間期間内に一時パスワードが入力されない場合、当該再発行要求はエラーとして処理する。一方、所定の時間期間内に一時パスワードが入力された場合、入力された一時パスワードが更新一時データベースに格納されている一時パスワードと一致するか否かを検証する(ステップ28)。
入力された一時パスワードが一時データベースに格納されている一時パスワードと一致する場合、ユーザ情報データベースに格納されている当該ユーザIDのパスワードを新たなパスワードで書き換え(ステップ28)、再発行処理が終了する。
上述した実施例では、一時パスワードはユーザにより生成され、ユーザにより生成された一時パスワードは、ユーザ端末から認証サーバに送信された。この一時パスワードは、認証サーバが生成し、認証サーバにより生成された一時パスワードを認証サーバからユーザ端末に送信することも可能である。この場合、認証サーバからユーザ端末に一時パスワードが送信されると、ユーザは、一時パスワードを知ることができ、認証サーバとユーザとの間で一時パスワードが共有される。よって、ユーザは、認証サーバから送られてきた一時パスワードを用いて以後の処理を実行することができる。認証サーバにおいて一時パスワードが生成される実施例については、図6に示す認証サーバの一時パスワード入力画面送信手段14を、一時パスワードを生成すると共に生成した一時パスワードをユーザ端末に送信する一時パスワード送信手段に変更する。また、図8に示されるステップ22及びステップ23は以下のように変更される。ステップ21において、ユーザ端末から認証サーバに対してパスワードの再発行要求が行われる。続いて、ステップ22において、認証サーバは、一時パスワード入力画面情報をユーザ端末に送信する代わりに、一時パスワードを生成し、生成された一時パスワードをユーザ端末に送信する。続いて、ステップ23において、認証サーバは、生成した一時パスワードをユーザIDと組として一時データベースに記憶する。その後、認証サーバにより生成された一時パスワードを用いてステップ24以降の処理が実行される。
認証サーバにおいて一時パスワードが生成され、生成された一時パスワードをユーザ端末に送信する実施例は、図2〜図5に示す実施例にも同様に適用することができる。この場合、図2に示す認証サーバについて、一時パスワード入力画面送信手段14を、一時パスワードを生成し、生成された一時パスワードをユーザ端末に送信する一時パスワード送信手段に変更する。また図5に示すフローチャートのステップ3、6及び7は以下のように変更される。すなわち、ステップ3において、認証サーバは、ユーザ端末に一時パスワード入力画面情報を送信する代りに、一時パスワードを生成し、生成された一時パスワードをユーザ端末に送信する。また、ステップ6において、認証サーバは、生成した一時パスワードを用いて初期化パスワードを暗号化する。さらに、ステップ7において、ユーザは、認証サーバから受信した一時パスワードを用いて受信した暗号化ファイルを復号化する。これ以外の処理は、図5に示すフローチャートと同一である。
次に、本人認証について、一層強固なセキュリティが確保されたシステムについて説明する。このシステムでは、クッキー情報を利用して一層高いセキュリティ環境のもとで本人確認を行う。図6を参照するに、認証サーバは、ユーザ登録時又はパスワード更新時に当該ユーザ端末に対して、当該ユーザ端末に固有の識別情報を暗号化してクッキー(Cookies)情報として格納する手段32、並びに格納したクッキー情報をユーザIDと共にユーザ情報データベースに記憶する手段を具える。さらに、認証サーバは、ユーザから、パスワードの変更要求がされた際、当該ユーザ端末に格納されているクッキー情報を検出する手段33及び取り出したクッキー情報をユーザ情報データベースに格納されているクッキーと照合する手段34を有する。
ユーザ端末からパスワードの再発行要求があった際、認証サーバは当該ユーザ端末に格納されているクッキー情報を検出し、検出されたクッキー情報とユーザ情報データベース6に格納されているクッキー情報と照合し、検出されたクッキー情報がデータベースに格納されているユーザIDのクッキー情報と一致するか否かを確認する。一致している場合、正当なユーザからのパスワード再発行要求であると判断し、パスワード再発行処理に移行する。一方、ユーザ端末側においてクッキーの機能が不活動化されている場合又はクッキーが一致しない場合、当該ユーザ端末からのパスワード変更要求を拒否する。尚、ユーザ端末側においてクッキーの機能が不活動化されている場合、電話等のオフラインによる確認作業を行い、正当なユーザからのパスワード変更要求であるか否かを確認することも可能である。
ユーザ登録時又はパスワード更新時に、ユーザ端末固有の識別情報として当該端末の通信MACアドレスやCPU-IDなど端末のユニークな情報を使用することが可能である。この場合、認証サーバ側からActiveX、またはJavaApletによる端末のローカル情報読取りモジュールが端末側にダウンロードされ、前記通信MACアドレスなどの端末固有情報が読取られる。読取った端末固有情報は対応するユーザIDのユーザ情報データベースに記憶し、パスワードの再発行要求がされた際、当該ユーザ端末に格納されている固有情報と照合することも可能である。なお、これらローカル情報読み取りモジュールには、しかるべき認証局が発行した署名用電子証明書を用いて署名しておくことが望ましい。
このように、ユーザ端末に固有の識別情報を併用して本人確認を行うことにより、なりすましが防止され、一層高いセキュリティ環境のもとでパスワードの再発行を行うことができる。
図9は、オンラインサービスシステムの認証サーバからユーザ端末にメッセージを送信するメッセージ送信手段として、インスタントメッセンジャを利用するオンラインサービスシステムを示す。尚、図1で用いた構成要素と同一の構成要素については同一符号を付し、その説明は省略する。インターネットを介してメッセージを送受信する手段として、電子メールと共にインスタントメッセンジャが実用化されている。インスタントメッセンジャは、リアルタイムでメッセージを送信する手段であり、Yahooメッセンジャ、Google Talk、Windows Live メッセンジャ、AOLインスタントメッセンジャ、Skypeのメッセンジャが実用化されている。これらインスタントメッセンジャは、第三者に公開されており、ユーザはインスタントメッセンジャのサービス提供者からインターフェースのソフトウエアの提供を受けると共にユーザIDが付与されることにより自由に利用することができる。また、認証サーバは、インスタントメッセンジャのサービス提供者から提供されるAPI(プログラムインターフェース)を実装することにより、各ユーザ端末に対してメッセージを送信することができる。また、電子メールとインスタントメッセンジャの両方を用いて認証サーバからユーザ端末にメッセージを送信することも可能である。この場合、ユーザは、電子メールからのメッセージに対して応答すると共にインスタントメッセンジャからのメッセージに対しても応答する。認証サーバは、2つの応答結果について検証し、2つの応答結果が共に適正である場合に限り正当な権限を有するユーザからのパスワード再発行要求であると認定することができる。尚、電子メールアドレスだけしか登録されていないユーザに対しては、電子メールによりメッセージを送信する。
ユーザ情報データベース6には、ユーザID、パスワード及び電子メールアドレスと共にインスタントメッセンジャの種類及びユーザアドレス(ユーザID)を対として登録する。認証サーバは、ユーザから一時パスワードの入力に応じて、暗号化ファイルを含むメッセージを作成し又は所定のURLを含むメッセージを作成する。次に、ユーザ情報データベース6にアクセスし、入力されたユーザIDと対となるインスタントメッセンジャのユーザID(ユーザアドレス)を検索する。検索されたインスタントメッセンジャのユーザIDにメッセージを送信する。メッセージは、ネットワーク1及びネットワーク1に接続されたインスタントメッセンジャサーバ8を介して対応するアドレスのユーザ端末に送信される。そして、ユーザは受信したメッセージに対して一時パスワードを用いて応答する。尚、インスタントメッセンジャを介してメッセージを送信する場合、メッセージ送信した時点において、ユーザ端末が起動していない場合当該パスワード再発行要求についてエラーとして処理する。
図10は、オンラインサービスシステムの認証サーバからユーザ端末にメッセージを送信するメッセージ送信手段として、携帯電話のショートメッセージサービスを利用するオンラインサービスシステムの例である。尚、図9で用いた構成要素と同一の構成要素については同一符号を付し、その説明は省略する。インターネットを介してメッセージを送受信する手段として、携帯電話のショートメッセージサービスも普及している。ショートメッセージは各携帯電話会社が運営するショートメッセージサービスセンターを介して、140文字程度の短いメッセージが送信される。
本例では、SKYPEを経由して携帯電話にショートメッセージを送信する。SKYPEは、インターネットを介してSKYPEユーザ間での無料の電話とメッセージサービスを提供している。また、SKYPEユーザから世界中の固定電話や携帯電話に電話ができる安価な有料サービと、及び世界中の携帯電話にショートメッセージを送信するサービスを提供している。SKYPEでは、第三者にAPIを無償ダウンロードで公開しており、ユーザはソフトウエアの提供を受けると共にユーザIDが付与されることにより利用することができる。
上記SKYPEのAPIを実装した認証サーバは、ユーザから一時パスワードの入力に応じて、所定のURLを含むメッセージを作成する。次に、ユーザ情報データベース6にアクセスし、入力された電話番号と対となるショートメッセージ電話番号のユーザIDを検索する。検索されたユーザIDに、SKYPEを介してショートメッセージを送信する。メッセージは、ネットワーク1及びネットワーク1に接続されたSKYPEサーバ9と対応する携帯電話会社のショートメッセージサービスのサーバ10を経由して、ユーザの携帯電話に送信される。ユーザは、携帯電話に受信したメッセージに記載されているURLへ、パスワード再発行を申し込んだ端末からアクセスして、一時パスワードを入力する。
電子メールと、インスタントメッセンジャ又はショートメッセージのいずれかを用いて、それぞれ本人認証することにより、更なるセキュリティの向上が可能となる。例えば、電子メールと一時パスワードによる本人確認後、インスタントメッセンジャと一時パスワードによる本人確認を行うことで、2つの異なる経路によるメッセージ送達確認が可能となり、一層高いセキュリティ強度を持ったパスワード再発行方法を実現できる。
次に、パスワード及びユーザIDの両方を忘れたユーザに対してパスワードを再発行する方法について説明する。オンラインサービスシステムでは、パスワードだけでなくユーザIDを忘れるユーザも多数存在する。このような場合、パスワード及びユーザIDの両方を忘れたユーザに対してパスワードの再発行を拒否したのでは、多数の不使用のユーザIDが存在する不具合が生じてしまう。一方、多くのオンラインサービスシステムでは、ユーザ登録に際しユーザIDと共に電子メールアドレスを事前に登録するシステムが採用されている。また、電子メールアドレスは広く実際的に使用されているため、ユーザ自身忘れることはないものである。このような実情を考慮し、本発明では、ユーザIDに基づいて本人確認する場合だけでなく、ユーザが事前登録したアドレス情報、例えば電子メールアドレス、インスタントメッセンジャのユーザID、又はショートメッセージの携帯電話番号を用いて本人認証を行うことができる。
すなわち、パスワード及びユーザIDの両方を忘れたユーザからのパスワード再発行要求があった場合、初めに電子メールアドレス等のメッセージ送信手段のユーザアドレスを入力させる。認証サーバは、ユーザ情報データベースにアクセスし、ユーザから入力されたユーザアドレスがユーザ情報データベースに登録されているか否かを検証する。入力されたユーザアドレスが登録されていない場合、当該パスワードの再発行要求はエラーとして処理する。一方、ユーザから入力された電子メールアドレス等のユーザアドレスがユーザ情報データベースに登録されている場合、当該パスワード再発行要求は、正規の会員からの要求であるとみなし、パスワード再発行処理に移行する。すなわち、図5に示す再発行処理が行われる場合、一時パスワードを入力する画面情報が送信され、ステップ3からステップ11までの工程が実行される。また、図8に示す再発行処理が行われる場合も同様に、一時パスワードを入力する画面情報が送信され、ステップ22からステップ29までの工程が実行される。尚、図5に示す再発行方法において、初期化パスワードは、入力された電子メールアドレスと対として一時記憶手段に記憶してもよく、或いは入力された電子メールアドレスと対応するユーザIDと対として記憶することも可能である。また、図8に示す再発行方法においても同様に、ユーザにより入力された一時パスワードは、電子メールアドレス又は対応するユーザIDと対にして一時記憶手段に記憶する。尚、本例においても、認証サーバにより生成され、認証サーバからユーザ端末に送信された一時パスワードを用いて本人認証することができる。
ユーザが忘れたユーザIDは、認証サーバがユーザ情報データベースを検索する際、ユーザアドレスに対応するユーザIDが検索されるので、検索されたユーザIDを一時パスワード入力画面情報と共にユーザ端末に送信してもよい。或いは、検索されたユーザIDを認証サーバからユーザ端末に送信されるメッセージに添付してもよい。
このように、本発明によるパスワード再発行方法は、パスワード及びユーザIDの両方を忘れたユーザについても高いセキュリティ環境下においてパスワードを再発行することができる。
1 ネットワーク
2 オンラインサービスシステム
3 a〜3n ユーザ端末
4 認証サーバ
5 業務アプリケーションサーバ
6 ユーザ情報データベース
7 電子メールサーバ
8 インスタントメッセンジャサーバ
9 SKYPEサーバ
99 ショートメッセージサービスサーバ(携帯電話会社)
10 通信手段
11 セッション管理手段
12 認証画面送信手段
13 認証手段
14 一時パスワード入力画面送信手段
15 初期化パスワード生成手段
16 更新一時データベース
17 暗号化手段
18 更新一時データベース確認手段
19 時間確認手段
20 パスワード変更画面送信手段
21 パスワード更新手段
2 オンラインサービスシステム
3 a〜3n ユーザ端末
4 認証サーバ
5 業務アプリケーションサーバ
6 ユーザ情報データベース
7 電子メールサーバ
8 インスタントメッセンジャサーバ
9 SKYPEサーバ
99 ショートメッセージサービスサーバ(携帯電話会社)
10 通信手段
11 セッション管理手段
12 認証画面送信手段
13 認証手段
14 一時パスワード入力画面送信手段
15 初期化パスワード生成手段
16 更新一時データベース
17 暗号化手段
18 更新一時データベース確認手段
19 時間確認手段
20 パスワード変更画面送信手段
21 パスワード更新手段
Claims (20)
- ユーザIDとパスワードに基づいて本人認証が行われるオンラインサービスシステムにおいて実施されるパスワード再発行方法であって、
前記オンラインサービスシステムは、本人認証を行う認証サーバと、インターネットを介してユーザにメッセージを送信する1つ又は2以上のメッセージ送信手段と、少なくとも、ユーザID、パスワード、及び、前記メッセージ送信手段のユーザアドレスを対として記憶したユーザ情報データベースとを有し、
ユーザ端末から認証サーバに対して、ユーザIDを提示してパスワードの再発行を要求する工程と、
ユーザ端末から認証サーバに対してユーザにより生成された一時パスワードが送信され、又は認証サーバからユーザ端末に対して認証サーバにより生成された一時パスワードが送信される工程と、
前記認証サーバは、ユーザ端末から一時パスワードを受信した後又はユーザ端末に一時パスワードを送信した後、以下の(a)〜(d)の処理を実行する工程と、
(a)認証処理に用いられるデータである初期化パスワードを生成し、生成された初期化パスワードとユーザIDを一時記憶手段に記憶し、
(b)前記初期化パスワードを前記一時パスワードで暗号化して暗号化ファイルを生成し、
(c)ユーザ情報データベースにアクセスし、前記ユーザIDと対をなすメッセージ送信手段のユーザアドレスを検索し、
(d)検索されたユーザアドレスのユーザ端末に、前記暗号化ファイルを含むメッセージを送信し、ユーザに対して当該暗号化ファイルを前記一時パスワードを用いて復号化することを要求し、
前記ユーザは、受信した暗号化ファイルを前記一時パスワードを用いて復号化し、復号化された初期化パスワードを前記認証サーバに送信する工程と、
前記認証サーバは、ユーザ端末から受信した初期化パスワードと前記一時記憶手段に記憶されている初期化パスワードとの間の同一性を検証する工程とを具え、
前記認証サーバは、前記ユーザ端末から受信した初期化パスワードが前記一時記憶手段に記憶されている初期化パスワードと一致しない場合、当該パスワード再発行要求を拒否し、一致する場合当該再発行要求は正当な権限を有するユーザからの再発行要求であると認定することを特徴とするパスワード再発行方法。 - 請求項1に記載のパスワード再発行方法において、前記認証サーバは、前記ユーザ情報データベースに格納されているユーザIDのパスワードを、ユーザにより入力された新たなパスワードに書き換えるパスワード更新手段を具え、前記ユーザ端末から受信した初期化パスワードが前記一時記憶手段に記憶されている初期化パスワードと一致することが確認された場合、前記ユーザ情報データベースに格納されている当該ユーザIDのパスワードを、ユーザにより入力された新たなパスワードに書き換えることを特徴とするパスワード再発行方法。
- 請求項2に記載のパスワード再発行方法において、前記ユーザにより入力された新たなパスワードとして、前記ユーザ端末から認証サーバに送信された一時パスワードが用いられ、前記パスワード更新手段は、前記ユーザ情報データベースに格納されている対応するユーザIDのパスワードを前記一時パスワードに書き換えることを特徴とするパスワード再発行方法。
- 請求項1又は2に記載のパスワード再発行方法において、前記認証サーバは、ユーザ端末に対して、暗号化ファイルを含むメッセージを送信した後、復号化された初期化パスワードを入力する入力欄を表示する画面情報を送信し、ユーザは、受信した画面情報に基づいて表示される画面に復号化した初期化パスワードを入力することを特徴とするパスワード再発行方法。
- 請求項4に記載のパスワード再発行方法において、前記ユーザ端末に送信される画面情報は、初期化パスワードの入力欄と共に変更される新たなパスワードの入力欄も表示することを特徴とするパスワード再発行方法。
- ユーザIDとパスワードに基づいて本人認証が行われるオンラインサービスシステムにおいて実施されるパスワード再発行方法であって、
前記オンラインサービスシステムは、本人認証を行う認証サーバと、インターネットを介してユーザにメッセージを送信する1つ又は2以上のメッセージ送信手段と、少なくとも、ユーザID、パスワード、及び、前記メッセージ送信手段のユーザアドレスを対として記憶したユーザ情報データベースとを有し、
ユーザ端末から認証サーバに対して、ユーザIDを提示してパスワードの再発行を要求する工程と、
ユーザ端末から認証サーバに対してユーザにより生成された一時パスワードが送信され、又は認証サーバからユーザ端末に対して認証サーバにより生成された一時パスワードが送信される工程と、
前記認証サーバは、ユーザ端末から一時パスワードを受信した後又はユーザ端末に一時パスワードを送信した後、以下の(a)〜(d)の処理を実行する工程と、
(a)ユーザ端末から受信した一時パスワード又はユーザ端末に送信した一時パスワードとユーザIDを一時記憶手段に記憶し、
(b)ユーザを誘導するためのURL含むメッセージを生成し、
(c)ユーザ情報データベースにアクセスし、前記ユーザIDと対をなすメッセージ送信手段のユーザアドレスを検索し、
(d)検索されたユーザアドレスのユーザ端末に、前記メッセージを送信し、ユーザに対して前記URLに前記一時パスワードを入力することを要求し、
前記ユーザは、前記認証サーバから受信したメッセージに含まれるURLにアクセスして前記一時パスワードを入力する工程と、
前記認証サーバは、ユーザにより入力された一時パスワードと前記一時記憶手段に記憶されている一時パスワードとの間の同一性を検証する工程とを具え、
前記認証サーバは、前記ユーザ端末から受信した一時パスワードが前記一時記憶手段に記憶されている一時パスワードと一致しない場合、当該パスワード再発行要求を拒否し、一致する場合当該再発行要求は正当な権限を有するユーザからの再発行要求であると認定することを特徴とするパスワード再発行方法。 - 請求項6に記載のパスワード再発行方法において、前記認証サーバは、前記ユーザ情報データベースに格納されているユーザIDのパスワードを、ユーザにより入力された新たなパスワードに書き換える更新手段を具え、前記ユーザ端末から送信された一時パスワードが前記一時記憶手段に記憶されている一時パスワードと一致することが確認された場合、前記ユーザ情報データベースに格納されている当該ユーザIDのパスワードを、ユーザにより入力された新たなパスワードに書き換えることを特徴とするパスワード再発行方法。
- 請求項7に記載のパスワード再発行方法において、前記ユーザにより入力された新たなパスワードとして、前記ユーザ端末から認証サーバに送信された一時パスワードが用いられ、前記パスワード更新手段は、前記ユーザ情報データベースに格納されている対応するユーザIDのパスワードを前記一時パスワードに書き換えることを特徴とするパスワード再発行方法。
- 請求項6、7又は8に記載の認証サーバにおいて、前記URLは、ユーザIDと時刻情報とが暗号化された暗号化情報を含むURLパラメータが付加されていることを特徴とするパスワード再発行方法。
- 請求項1又は6に記載のパスワード再発行方法において、前記メッセージ送信手段として電子メールが用いられ、前記ユーザ情報データベースには、ユーザアドレスとして電子メールアドレスが記憶され、
前記認証サーバは、作成したメッセージを電子メールサーバ及びネットワークを介してユーザ端末に送信することを特徴とするパスワード再発行方法。 - 請求項1又は6に記載のパスワード再発行方法において、前記メッセージ送信手段としてインスタントメッセンジャが用いられ、前記ユーザ情報データベースには、インスタントメッセンジャのサービス提供者からユーザに付与されたユーザIDがユーザアドレスとして記憶され、
前記認証サーバは、作成したメッセージを、ネットワークに接続されているインスタントメッセンジャサーバを介してユーザ端末に送信することを特徴とするパスワード再発行方法。 - 請求項1又は6に記載のパスワード再発行方法において、前記メッセージ送信手段として携帯電話のショートメッセージサービスが用いられ、前記ユーザ情報データベースには、メッセージ送信先のアドレス情報としてショートメッセージサービスの電話番号がユーザアドレスとして記憶され、
前記認証サーバは、作成したメッセージを携帯電話のショートメッセージサービスを介してユーザ端末に送信することを特徴とするパスワード再発行方法。 - 請求項1又は6に記載のパスワード再発行方法において、前記メッセージ送信手段として、電子メール、インスタントメッセンジャ又は携帯電話のショートメッセージサービスが用いられ、前記ユーザ情報データベースには、ユーザアドレスとして電子メールアドレス、インスタントメッセンジャのサービス提供者からユーザに付与されたユーザID又はショートメッセージサービスの電話番号が記憶され、
前記認証サーバは、前記作成したメッセージを、電子メール、インスタントメッセンジャ又は携帯電話のショートメッセージのいずれか2つの方法によりユーザ端末に送信することを特徴とするパスワード再発行方法。 - 請求項13に記載のパスワード再発行方法において、ユーザは、電子メールを介して受信したメッセージ及び、インスタントメッセンジャ又は携帯電話のショートメッセージのいずれかで受信したメッセージに対してそれぞれ所定の処理を実行し、前記認証サーバは、ユーザにより実行された各処理についてそれぞれ検証し、2つの検証結果が適正であると認められる場合に限り正当な権限を有するユーザからの再発行要求であると認定することを特徴とするパスワード再発行方法。
- 請求項1又は6に記載のパスワード再発行方法において、前記認証サーバは、ユーザ端末から送られてきたパスワード再発行要求を受信した際、当該ユーザ端末に一時パスワードを入力する入力欄を表示した画面情報を送信し、前記ユーザは、表示された画面に一時パスワードを入力することを特徴とするパスワード再発行方法。
- 請求項1又は5に記載のパスワード再発行方法において、前記認証サーバは、前記メッセージがユーザ端末に送信された後所定の時間期間内に、復号化された初期化パスワードが入力されない場合又は指定されたURLに一時パスワードが入力されない場合、当該パスワードの再発行要求を拒否することを特徴とするパスワード再発行方法。
- 請求項1又は6に記載のパスワード再発行方法において、前記ユーザ情報データベースには、ユーザ端末に固有の識別情報がユーザIDと共に記憶され、前記認証サーバは、ユーザ端末に格納されている固有の識別情報を検出する手段と、検出された識別情報がユーザ情報データベースに記憶されている識別情報と一致するか否かを検証する手段とを有し、ユーザ端末からパスワードの再発行要求がされた際、当該ユーザ端末に格納されている固有の識別情報を検出し、検出された識別情報がユーザ情報データベースに格納されている識別情報と一致する場合に限りパスワードの再発行処理に移行することを特徴とするパスワード再発行方法。
- ユーザIDとパスワードに基づいて本人認証が行われるオンラインサービスシステムにおいて実施されるパスワード再発行方法であって、
前記オンラインサービスシステムは、本人認証を行う認証サーバと、インターネットを介してユーザにメッセージを送信する1つ又は2以上のメッセージ送信手段と、少なくとも、ユーザID、パスワード、及び、前記メッセージ送信手段のユーザアドレスを対として記憶したユーザ情報データベースとを有し、
ユーザ端末から認証サーバに対して前記メッセージ送信手段のユーザアドレスを提示してパスワードの再発行を要求する工程と、
前記認証サーバは、ユーザ情報データベースにアクセスし、ユーザにより提示されたユーザアドレスがユーザ情報データベースに登録されているか否かを検証し、登録されていない場合エラーとして処理する工程と、
ユーザ端末から認証サーバに対してユーザにより生成された一時パスワードが送信され、又は認証サーバからユーザ端末に対して認証サーバにより生成された一時パスワードが送信される工程と、
前記認証サーバは、ユーザ端末から一時パスワードを受信した後又はユーザ端末に一時パスワードを送信した後、以下の(a)〜(c)の処理を実行する工程と、
(a)認証処理に用いられるデータである初期化パスワードを生成し、生成された初期化パスワードとユーザID又はユーザアドレスとを一時記憶手段に記憶し、
(b)前記初期化パスワードを前記一時パスワードで暗号化して暗号化ファイルを生成し、
(c)前記ユーザにより提示されたユーザアドレスのユーザ端末に、前記暗号化ファイルを含むメッセージを送信し、ユーザに対して当該暗号化ファイルを前記一時パスワードを用いて復号化することを要求し、
前記ユーザは、受信した暗号化ファイルを前記一時パスワードを用いて復号化し、復号化された初期化パスワードを前記認証サーバに送信する工程と、
前記認証サーバは、ユーザ端末から受信した初期化パスワードと前記一時記憶手段に記憶されている初期化パスワードとの間の同一性を検証する工程とを具え、
前記認証サーバは、前記ユーザ端末から受信した初期化パスワードが前記一時記憶手段に記憶されている初期化パスワードと一致しない場合、当該パスワード再発行要求を拒否し、一致する場合当該再発行要求は正当な権限を有するユーザからの再発行要求であると認定することを特徴とするパスワード再発行方法。 - ユーザIDとパスワードに基づいて本人認証が行われるオンラインサービスシステムにおいて実施されるパスワード再発行方法であって、
前記オンラインサービスシステムは、本人認証を行う認証サーバと、インターネットを介してユーザ本人にメッセージを送信する1つ又は2以上のメッセージ送信手段と、少なくとも、ユーザID、パスワード、及び、前記メッセージ送信手段のユーザアドレスを対として記憶したユーザ情報データベースとを有し、
ユーザ端末から認証サーバに対して前記メッセージ送信手段のユーザアドレスを提示してパスワードの再発行を要求する工程と、
前記認証サーバは、ユーザ情報データベースにアクセスし、ユーザにより提示されたユーザアドレスがユーザ情報データベースに登録されているか否かを検証し、登録されていない場合エラーとして処理する工程と、
ユーザ端末から認証サーバに対してユーザにより生成された一時パスワードが送信され、又は認証サーバからユーザ端末に対して認証サーバにより生成された一時パスワードが送信される工程と、
前記認証サーバは、ユーザ端末から一時パスワードを受信した後又はユーザ端末に一時パスワードを送信した後、以下の(a)〜(c)の処理を実行する工程と、
(a)ユーザ端末から受信した一時パスワード又はユーザ端末に送信した一時パスワードとユーザID又はユーザアドレスとを一時記憶手段に記憶し、
(b)ユーザを誘導するためのURL含むメッセージを生成し、
(c)ユーザにより提示されたユーザアドレスのユーザ端末に、前記メッセージを送信し、ユーザに対して前記URLに前記一時パスワードを入力することを要求し、
前記ユーザは、前記認証サーバから受信したメッセージに含まれるURLにアクセスして前記一時パスワードを入力する工程と、
前記認証サーバは、ユーザにより入力された一時パスワードと前記一時記憶手段に記憶されている一時パスワードとの間の同一性を検証する工程とを具え、
前記認証サーバは、前記ユーザ端末から受信した一時パスワードが前記一時記憶手段に記憶されている一時パスワードと一致しない場合、当該パスワード再発行要求を拒否し、一致する場合当該再発行要求は正当な権限を有するユーザからの再発行要求であると認定することを特徴とするパスワード再発行方法。 - 請求項18又は19に記載のパスワード再発行方法において、前記メッセージ送信手段として、電子メール、インスタントメッセンジャ、又は携帯電話のショートメッセージサービスが用いられ、前記ユーザ情報データベースには、ユーザアドレスとして電子メールアドレス、インスタントメッセンジャのサービス提供者からユーザに付与されたユーザID又はショートメッセージサービスの電話番号が記憶され、
パスワード及びユーザIDを忘れたユーザは、前記認証サーバに対して電子メールアドレス、インスタントメッセンジャのサービス提供者からユーザに付与されたユーザID又はショートメッセージサービスの電話番号を提示してパスワードの再発行を要求することを特徴とするパスワード再発行方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008278026 | 2008-10-29 | ||
JP2008278026 | 2008-10-29 | ||
PCT/JP2009/005683 WO2010050192A1 (ja) | 2008-10-29 | 2009-10-28 | パスワード再発行方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JPWO2010050192A1 true JPWO2010050192A1 (ja) | 2012-03-29 |
Family
ID=42128563
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010535666A Pending JPWO2010050192A1 (ja) | 2008-10-29 | 2009-10-28 | パスワード再発行方法 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JPWO2010050192A1 (ja) |
WO (1) | WO2010050192A1 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103246841A (zh) * | 2012-02-09 | 2013-08-14 | 富泰华工业(深圳)有限公司 | 电子装置的解锁密码重置系统及方法 |
JP6777099B2 (ja) * | 2015-12-24 | 2020-10-28 | 日本電気株式会社 | メール制御装置、メール制御方法およびコンピュータプログラム |
JP6723804B2 (ja) | 2016-04-13 | 2020-07-15 | キヤノン株式会社 | システム、中継クライアント、制御方法、及びプログラム |
EP3457308B1 (en) * | 2016-06-07 | 2021-04-21 | Huawei Technologies Co., Ltd. | Method for improving information security and terminal |
CN108170482B (zh) * | 2018-01-17 | 2021-01-15 | 联想(北京)有限公司 | 信息处理方法及计算机设备 |
JP7100561B2 (ja) * | 2018-10-30 | 2022-07-13 | ウイングアーク1st株式会社 | 認証システム、認証サーバおよび認証方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005216085A (ja) * | 2004-01-30 | 2005-08-11 | All Nippon Airways Co Ltd | パスワード提供システムおよびその方法 |
JP2006311529A (ja) * | 2005-03-30 | 2006-11-09 | Seiko Epson Corp | 認証システムおよびその認証方法、認証サーバおよびその認証方法、記録媒体、プログラム |
JP2008217814A (ja) * | 2006-01-13 | 2008-09-18 | Keytel:Kk | 暗号化ファイル受渡システム、電子ファイル暗号化プログラム及び暗号化ファイル受渡方法 |
-
2009
- 2009-10-28 WO PCT/JP2009/005683 patent/WO2010050192A1/ja active Application Filing
- 2009-10-28 JP JP2010535666A patent/JPWO2010050192A1/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2010050192A1 (ja) | 2010-05-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107690788B (zh) | 识别和/或认证系统和方法 | |
JP5066827B2 (ja) | 移動装置を用いる認証サービスのための方法及び装置 | |
US9338163B2 (en) | Method using a single authentication device to authenticate a user to a service provider among a plurality of service providers and device for performing such a method | |
JP4755866B2 (ja) | 認証システム、認証サーバ、認証方法および認証プログラム | |
US20160307194A1 (en) | System and method for point of sale payment data credentials management using out-of-band authentication | |
JP4350769B2 (ja) | 認証サーバ及びオンラインサービスシステム | |
EP2999189A1 (en) | Network authentication method for secure electronic transactions | |
US7366904B2 (en) | Method for modifying validity of a certificate using biometric information in public key infrastructure-based authentication system | |
CN111615105B (zh) | 信息提供、获取方法、装置及终端 | |
WO2009101549A2 (en) | Method and mobile device for registering and authenticating a user at a service provider | |
CN104811308A (zh) | 具有蓝牙接口的认证设备 | |
JP2002215582A (ja) | 認証方法及び装置 | |
US8033459B2 (en) | System and method for secure electronic data delivery | |
KR20080033541A (ko) | 확장된 일회용 암호 방법 및 장치 | |
CN106416336B (zh) | 识别和/或认证系统和方法 | |
JP2009510644A (ja) | 安全な認証のための方法及び構成 | |
KR101025807B1 (ko) | 인증방법 및 인증서버 | |
WO2020018182A1 (en) | Public-private key pair protected password manager | |
KR20090089394A (ko) | 네트워크의 클라이언트 장치로의 보안 패스워드 분배 | |
WO2010050192A1 (ja) | パスワード再発行方法 | |
KR101001400B1 (ko) | 온라인 상호 인증 방법 및 그 시스템 | |
CN109600296A (zh) | 一种证件链即时通讯系统及其使用方法 | |
JP3711931B2 (ja) | 電子メールシステム、その処理方法及びそのプログラム | |
KR100563544B1 (ko) | 일회용 비밀번호를 이용한 사용자 인증 방법 | |
KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 |