WO2016039309A1

WO2016039309A1 - 認証システム、リマインダ端末、ならびに、情報記録媒体

Info

Publication number: WO2016039309A1
Application number: PCT/JP2015/075391
Authority: WO
Inventors: 秀治小川
Original assignee: パスロジ株式会社
Priority date: 2014-09-08
Filing date: 2015-09-08
Publication date: 2016-03-17
Also published as: JP6721924B2; CN107077559A; EP3193273A1; US20170279790A1; JP2019194897A; WO2016038665A1; JP6549058B2; US20190394185A1; JP5906363B1; EP3193273B1; EP3193273A4; US10425404B2; JP2016146197A; CN107077559B; JPWO2016039309A1; US11277400B2

Abstract

リマインダ端末(121)において、表生成部(204)は、ランダムな文字列を各要素に格納した表を生成する。パスワード登録部(205)は、表をユーザに視認させて、ユーザ用の選択順序で表から抜き出した要素に格納された文字列を並べて得られた登録用文字列をパスワードとして、リソースサーバに登録するように促す。記憶部(201)は、表を記憶する。提示部(202)は、ユーザからの指示により表をユーザに提示して、ユーザ用の選択順序で表から抜き出した要素に格納された文字列を並べて得られた認証用文字列を、リソースサーバの資源を利用する要求に係るパスワードとするように促す。送信部(203)により、表がユーザに提示された旨の報告を送信しても良い。報告の宛先をリソースサーバと連携する管理サーバとすれば、表がユーザに提示されたことを、リソースサーバの資源を利用する条件に課すことができる。

Description

認証システム、リマインダ端末、ならびに、情報記録媒体

本発明は、リソースサーバの資源を利用する要求に対する可否を決定するためのパスワードをリマインダ端末にて管理するのに好適な認証システム、当該リマインダ端末、ならびに、コンピュータを当該リマインダ端末として機能させるプログラムを記録した非一時的なコンピュータ読取可能な情報記録媒体に関する。

従来から、リソースサーバが提供するリソースの使用の可否を決定するために、ユーザがパスワードを入力するシステムが利用されている。ここで提供されるリソースとしては、各種ファイルの送受および保存、メール、ニュース、静止画、動画、音楽等の閲覧や視聴、各種アプリケーションの使用等、種々の形態がありうる。

ここで、リソースサーバは、リソース使用の可否の決定のため、パスワードそのもの、もしくは、パスワードに一方向ハッシュ関数を適用してランダム化した文字列を、記憶する。なお、パスワードにソルトと呼ばれるユーザ毎に定められる文字列を付加してからハッシュ関数を適用する手法も使われている。一方向ハッシュ関数を利用する場合には、パスワード文字列そのものを対比するのではなく、ユーザが入力したパスワードのハッシュ値と、リソースサーバ内に保存されたハッシュ値を対比することにより、パスワードの一致を確認して、認証を行う。

一般に、リソースサーバは種々のサービスプロバイダにより運営されているので、リソースサーバの構成や設定が異なることがあり、その相違に基づいて、セキュリティ上の差が生ずる。したがって、あるリソースサーバが攻撃を受けたり、セキュリティ情報が社員から漏洩したり、ユーザ自身の不注意で情報が漏洩してしまい、パスワードが流出してしまうことがある。

ここで、複数のリソースサーバにて同じパスワードを利用している場合に、その中の一つのリソースサーバについてパスワードが漏洩してしまうと、他のリソースサーバについても、不正アクセスが可能となってしまう。したがって、パスワードは、リソースサーバ毎に異なるものとすることが望ましい。

また、辞書に載っている文字列等をパスワードとして順に入力して、リソースサーバへのログインを試みるブルートフォース攻撃が知られている。したがって、パスワードは、ランダムに生成された文字列から構成することが望ましい。しかしながら、このような文字列は、人間にとって記憶することが難しい。

ここで、リソースサーバごとに異なる多数の覚えにくいパスワードを管理する技術として、下記の文献に開示される技術が提案されている。

特開2007-108833号公報国際公開第2012/029776号

これらの技術では、パスワードを管理するリマインダ用機器にて、ユーザが一つのマスターパスワードもしくはキーを入力することにより、各リソースサーバ用のパスワードが得られることとしている。しかしながら、マスターパスワードやキーを直接入力せずに、各リソースサーバ用のパスワードが得られ、各リソースサーバ用のパスワードのランダム性が維持される技術が望まれている。

本発明は、上記のような課題を解決するためのもので、リソースサーバの資源を利用する要求に対する可否を決定するためのパスワードをリマインダ端末にて管理するのに好適な認証システム、当該リマインダ端末、ならびに、コンピュータを当該リマインダ端末として機能させるプログラムを記録した非一時的なコンピュータ読取可能な情報記録媒体を提供することを目的とする。

  本発明に係る認証システムは、リマインダ端末と、リソースサーバと、管理サーバと、アクセス端末と、を備え、
(A)前記リマインダ端末は、
  ランダムに生成された文字列を各要素に格納した表を生成する表生成部、
  前記生成された表をユーザに視認させて、前記ユーザに、
      (1)前記ユーザにあらかじめ割り当てられた選択順序で前記視認された表から要素を抜き出し、前記抜き出された要素に格納された文字列を並べることにより、登録用文字列を得て、
      (2)前記得られた登録用文字列を、前記ユーザが有するユーザ名に対するパスワードとして、前記リソースサーバにおいて更新登録もしくは新規登録する
ように促すパスワード登録部、
  前記リソースサーバが有するリソースサーバ名および前記ユーザ名の組み合わせに対応付けて、前記視認された表が記憶される記憶部、
  前記ユーザからの指示により前記組み合わせが選択されると、前記組み合わせに対応付けて前記記憶された表を前記ユーザに提示して、前記ユーザに、
      (a)前記ユーザにあらかじめ割り当てられた選択順序で前記提示された表から要素を抜き出し、前記抜き出された要素に格納された文字列を並べることにより、認証用文字列を得て、
      (b)前記得られた認証用文字列を、前記ユーザ名により前記リソースサーバの資源を利用する要求に係るパスワードに採用する
ように促す提示部、
  前記組み合わせに対応付けて前記記憶された表が前記ユーザに提示された旨の報告を送信する送信部、
  を備え、
(B)前記管理サーバは、
  前記リマインダ端末から送信された前記報告が前記管理サーバにより受信されると、前記報告に係る組み合わせに対する有効期間であって前記報告が前記管理サーバに受信された時点を含む有効期間を定め、
(C)前記リソースサーバは、
  前記ユーザ名により前記リソースサーバの資源を利用する要求が、前記アクセス端末から前記リソースサーバへ送信され、前記要求に係るパスワードが、前記リソースサーバにて前記ユーザ名に対して登録されたパスワードと一致すると、前記管理サーバへ、前記ユーザ名に係る問合せを送信し、
(D)前記管理サーバは、
  前記問合せが前記管理サーバにより受信されると、許可条件「前記問合せの送信元であるリソースサーバのサーバ名および前記問合せに係るユーザ名の組み合わせに対して定められた有効期間内に、前記問合せが前記管理サーバにより受信された」が成立するか否かを判定し、前記判定された結果が指定された回答を、前記リソースサーバへ送信し、
(E)前記リソースサーバは、
  前記回答が前記リソースサーバにより受信され、前記受信された回答にて前記許可条件が成立する旨が指定されていれば、前記リソースサーバの資源を利用させるための応答を前記アクセス端末へ送信する。

本発明に係るリマインダ端末は、上記認証システムにおける上記の要件(A)を満たすリマインダ端末である。本リマインダ端末は、ユーザの選択に基づいて提示されている表に対応付けられるリソースサーバ名とユーザ名の組み合わせを示す報告を他の機器に送信するので、当該組み合わせを認証の際に参照できるようにする。本リマインダ端末は、たとえば、セキュリティトークンとして利用することができる。

本発明によれば、リソースサーバの資源を利用する要求に対する可否を決定するためのパスワードをリマインダ端末にて管理するのに好適な認証システム、当該リマインダ端末、ならびに、コンピュータを当該リマインダ端末として機能させるプログラムを記録した非一時的なコンピュータ読取可能な情報記録媒体を提供することができる。

本発明の実施例に係る認証システムの概要を示す説明図である。本発明の実施例に係るリマインダ端末の概要を示す説明図である。本発明の実施例に係るリマインダ端末に表が表示される様子を示す説明図である。本発明の実施例に係るリマインダ端末に表が表示される様子を示す説明図である。本発明の実施例に係る選択順序の例を示す説明図である。本発明の実施例に係る認証システムにおける情報のやりとりの様子を示す説明図である。本発明の実施例に係るログインフォームを表示したブラウザの様子を示す説明図である。本発明の実施例に係るパスワードの更新用に表示される表の様子を示す説明図である。これまで使用してきた選択順序がユーザにより選択される様子を示す説明図である。これまで使用してきた選択順序がユーザにより選択される様子を示す説明図である。これまで使用してきた選択順序がユーザにより選択される様子を示す説明図である。これまで使用してきた選択順序がユーザにより選択される様子を示す説明図である。これまで使用してきた選択順序がユーザにより選択される様子を示す説明図である。新しい選択順序がユーザにより選択される様子を示す説明図である。新しい選択順序の1番目がユーザにより選択される様子を示す説明図である。新しい選択順序の2番目がユーザにより選択される様子を示す説明図である。新しい選択順序の3番目がユーザにより選択される様子を示す説明図である。新しい選択順序の4番目がユーザにより選択される様子を示す説明図である。新しい選択順序により更新された表の様子を示す説明図である。新しい選択順序により他の表が更新される前後の様子を示す説明図である。

以下に本発明の実施形態を説明する。なお、本実施形態は説明のためのものであり、本願発明の範囲を制限するものではない。したがって、当業者であればこれらの各要素もしくは全要素をこれと均等なものに置換した実施形態を採用することが可能であるが、これらの実施形態も本発明の範囲に含まれる。

図1は、本発明の実施例に係る認証システムの概要を示す説明図である。以下、本図を参照して説明する。

本実施例に係る認証システム101は、リマインダ端末121と、アクセス端末141と、リソースサーバ161と、管理サーバ181と、を備える。典型的には、複数のリソースサーバ161に対して1台の管理サーバ181が用意される。ただし、各リソースサーバ161が管理サーバ181の機能を同時に果たすように構成して、独立した管理サーバ181を省略することも可能である。また、リソースサーバ161として、従来のユーザ名およびパスワードによる本認証のみを採用することとし、管理サーバ181そのものを省略することも可能である。

これらの機器は、インターネット、携帯電話通信網、Wi-Fi(Wireless Fidelity)等の無線LAN(Local Area Network)等のコンピュータ通信網191を介して、相互に通信することができる。なお、リソースサーバ161と、管理サーバ181と、の間の通信には、専用回線を利用することも可能である。また、通信に各種の暗号化を施すことも可能である。

リマインダ端末121は、ユーザが各リソースサーバ161の資源を利用するためのパスワードを、当該ユーザのみにわかるような形態、すなわち、第三者が盗み見ただけでパスワードが直ちに窃取されることがないような形態で、当該ユーザに提示する機能を果たす。典型的には、リマインダ端末121として、各種の携帯端末、たとえば、携帯電話、スマートフォン、タブレット、PDA(Personal Data Assistant)、ウェアラブル端末などを利用することができる。

アクセス端末141は、ユーザがリソースサーバ161の資源を利用するため端末である。典型的には、ユーザは、リソースサーバ161の資源を利用するために、アクセス端末141上で動作するブラウザから、リソースサーバ161にアクセスする。アクセス端末141としては、各種の据置き型コンピュータやX端末などのエミュレータ端末を利用することができる。また、アクセス端末141として、リマインダ端末121と同じ機器を利用することとしても良い。

リソースサーバ161は、ユーザに、資源の利用サービスを提供する。リソースサーバ161は、アクセス端末141にてユーザが入力したパスワードを、アクセス端末141から取得して、利用の権限を有するか否かの認証を行うことにより、ユーザによる資源の利用の可否を決定する。なお、認証には、アクセス端末141にて入力されたユーザ名を利用することもできるが、アクセス端末141自体の識別情報(たとえば、通信用のMAC(Media Access Control)アドレスや、CPU(Central Processing Unit)の製造番号、アクセス端末141にあらかじめ保存されたクッキーに含まれるセッションID等)をユーザ名のかわりに使用することもできる。

リソースサーバ161には、リソースサーバ名が割り当てられる。リソースサーバ名は、リソースサーバ161として機能するコンピュータのサーバID(IDentifier)、たとえば、ホスト名、IP(Internet Protocol)アドレス、ドメイン名、資源を提供する窓口となるURL(Universal Resource Locator)等により表現される。

管理サーバ181は、リソースサーバ161が行う認証において、リマインダ端末121の利用状況を参照できるようにするものである。

(概要)
以下では、本発明の典型的な態様の概要を説明する。リマインダ端末121は、各リソースサーバ161のサーバ名および当該各リソースサーバ161にてユーザが使用するユーザ名の組み合わせに対応付けて、各要素にランダムな文字列が格納された表を生成して記憶する。

この表は、ユーザが各リソースサーバ161にアカウントの新規登録をする際や、ユーザが各リソースサーバ161における既存のアカウントのパスワードを更新する際に、リマインダ端末により生成され、リマインダ端末121は、生成された表をユーザに視認させる。
また、ユーザが各リソースサーバ161の資源を利用しようとする際(ログインあるいはサインインしようとする際)にも、リマインダ端末121は、ユーザが選択したリソースサーバ名とユーザ名の組み合わせに応じて、リマインダ端末121内に記憶された表をユーザに提示する。

この表は、リマインダ端末121内のみにて管理されるものであって、その内容そのものが各リソースサーバ161や管理サーバ181に知らされることはない、とするのが基本的な態様である。表のバックアップを各リソースサーバ161や管理サーバ181に対して行うことも可能であるが、この場合には、表を適宜暗号化してからバックアップを行うことが望ましい。

ユーザは、リマインダ端末121の使用を開始するにあたって、自分用の選択順序を1つ定める。この選択順序は、リマインダ端末121にて管理される全組み合わせにおいて共通して使用される。この選択順序自体も、その内容そのものが各リソースサーバ161や管理サーバ181に知らされることはない、とするのが基本的な態様である。

ユーザが、あるリソースサーバ161に、あるユーザ名で新規登録をしようとする際には、リマインダ端末121に、当該リソースサーバ161のサーバ名および当該ユーザが使用するユーザ名の組み合わせを入力する。すると、リマインダ端末121は、表を生成して、この表をユーザに視認させる。

ユーザは、視認した表から、自身が定めた選択順序により要素を抜き出して、抜き出された要素に格納された文字列を並べる。ここで得られる文字列は、当該リソースサーバに対する新規登録の際に入力する登録用パスワードとなる。

ユーザは、アクセス端末141からリソースサーバ161にアクセスし、ユーザ名とリマインダ端末121を視認することにより得られた登録用パスワードを入力して、アカウントの新規登録を行う。

これによって、アカウントの新規登録が完了するので、リソースサーバ名とユーザ名の組み合わせに対応付けられた表を、リマインダ端末121内の不揮発な記憶媒体に記憶して、今後、リソースサーバ161の資源を利用しようとする際に、その内容を確認できるようにする。

ユーザがリソースサーバ161の資源を利用しようとするときには、リマインダ端末121に対して、リソースサーバ161のリソースサーバ名とユーザ名の組み合わせを選択する。すると、リマインダ端末121は、当該組み合わせに対応付けて記憶された表を、ユーザに提示する。

ユーザは、提示された表から、自身で定めた選択順序で要素を抜き出し、抜き出された要素に格納された文字列を並べることにより、認証用文字列を知得する。

そして、ユーザは、アクセス端末141を介して、リソースサーバ161のログインフォームにアクセスし、ユーザ名および認証用文字列をパスワードとして入力してリソースサーバ161に対してログインの要求を行う。

リソースサーバ161は、要求に係るユーザ名とパスワードの組み合わせを正当なものであるか否かを判定する。この判定には、通常のパスワード認証の技術を採用することができる。

さて、本実施例では、リマインダ端末121は、当該組み合わせに対応付けられる表をユーザに提示したら、その旨を外部の機器に報告する、という特徴を有する。これにより、外部の機器は、リマインダ端末121の所有者が、当該組み合わせに係るリソースサーバ名を有するリソースサーバ161に、当該組み合わせに係るユーザ名でログイン等をしようとしていることを知得することができる。

当該報告が管理サーバ181に送信される態様では、リマインダ端末121をセキュリティトークンとして利用することができる。

管理サーバ181は、報告を受信すると、当該報告に係るリソースサーバ名およびユーザ名の組み合わせに対して、報告を受信した時点を含む有効期間を決定する。この有効期間は、たとえば、報告受信時から報告受信後5分までの期間など、ごく短い期間とする。

一方、アクセス端末141からのログインの要求を受信したリソースサーバ161が、要求に係るユーザ名とパスワードの組み合わせを正当なものと判定すると、リソースサーバ161は、自身のリソースサーバ名とログインしようとしているユーザ名とを指定した問合せを、管理サーバ181に対して送信する。

管理サーバ181は、問合せを受信すると、許可条件が成立するか否かを判定する。本態様では、許可条件として、「当該問合せに係るリソースサーバ名およびユーザ名の組み合わせに対して決定した有効期間内に、当該問合せが管理サーバ181により受信された」を採用する。これは、許可条件が成立する、ということは、実質的には、ユーザがリソースサーバ161に要求を出す際に、リマインダ端末121にてリソースサーバ161用の表を見たことを意味する。そして、管理サーバ181は、許可条件の成立の正否を指定した回答を、リソースサーバ161に送信する。

リソースサーバ161は、管理サーバ181から受信した回答の正否に基づいて、ログインの要求に係る資源の利用の可否を判定する。すなわち、ユーザ名とパスワードの組み合わせが正当なものであり、パスワードがばらばらに埋め込まれた表がリマインダ端末121にて最近表示された、という2つが成立する場合に、リソースサーバ161は、資源の利用を許すのである。したがって、この態様では、リマインダ端末121をセキュリティトークンとして利用することが可能となる。

この態様では、リマインダ端末121の機器情報ならびにリマインダ端末121を使用するユーザ自身の個人情報を管理サーバ181に事前に登録することが望ましい。リマインダ端末121に紐付けられたユーザの個人情報が管理サーバ181にて管理されていることが保証されれば、リソースサーバ161への新規登録の際に、ユーザの個人情報をリソースサーバ161に渡す必要はない。すなわち、個人情報は管理サーバ181に管理させることとし、リソースサーバ161にて何らかの事故が生じない限り、管理サーバ181からリソースサーバ161への個人情報の開示はしない、という運用が可能である。この運用は、プライバシーの保護に役立つので、ユーザ登録の可能性を高める。

このように、表の各要素にはランダムな文字列が格納されているので、得られる登録用文字列や認証用文字列もランダムであり、表は、リソースサーバ名およびユーザ名の組み合わせ毎に生成されるので、登録用文字列や認証用文字列がリソースサーバ同士で重複することは稀である。

したがって、ユーザは、自分の選択順序のみを記憶していれば、ランダムなパスワードを複数のリソースサーバ161で重複なく利用することができる。

かりに、リマインダ端末121が盗まれ、あるいは、リマインダ端末121に記憶される表が窃視されたとしても、ユーザの選択順序がわからなければ、各リソースサーバ161に対するパスワードが漏洩することはない。したがって、安全にパスワードを管理することが可能である。

このほか、アクセス端末141のブラウザでプラグインプログラムを動作させ、無線通信あるいは有線通信の状況からアクセス端末141の近傍に所在することが確定されたリマインダ端末121からの報告をアクセス端末141が受信する、という態様を採用することもできる。この態様は、管理サーバ181を省略した構成、すなわち、リソースサーバ161は、ユーザ名とパスワードのみにより要求の可否を決定する形態に適用することも可能である。当該形態については、後述する。

以下、本実施例の各部の動作について、詳細に説明する。

(リマインダ端末)
図2は、本発明の実施例に係るリマインダ端末の概要を示す説明図である。以下、本図を参照して説明する。

リマインダ端末121は、記憶部201、提示部202を備える。また、省略可能な要素として、送信部203、表生成部204、パスワード登録部205、表登録部206、受付部207、規則生成部208、全更新部209を備えても良い。なお、省略された要素の機能は、表の共有に係る制約を緩和することにより、管理サーバ181に肩代りさせることも可能である。

記憶部201には、リソースサーバ161が有するリソースサーバ名、および、当該リソースサーバ161へのアクセスに使用するユーザ名の組み合わせに対応付けられて、表が記憶される。各表の各要素には、ランダムに生成された情報(各種の文字、数字、記号、図形、これらの列等。)が格納される。また、各表には、欄外に付加要素を設けることもできる。付加要素には、ランダムに生成された情報を格納しても良いし、初回登録時にユーザが自分で決定しても良いし、省略しても良い。

記憶部201に記憶される表は、提示部202が、ユーザの選択に基づいて、リマインダ端末121の画面に表示する。この表は、セキュリティを最も高めるには、リマインダ端末121のみに記憶され、リソースサーバ161や管理サーバ181とは一切共有しないことが望ましい。この場合、リマインダ端末121に記憶された表をリソースサーバ161や管理サーバ181にバックアップしたければ、適宜暗号化を施すこととしてリソースサーバ161や管理サーバ181といえども、バックアップから表を復元するための許可ならびに復元に必要な暗号化キー等をユーザから明示的に得ない限りは、表を知得することができないようにする。

一方、後述するように、最高のセキュリティとはいえないものの、ユーザの利便性を勘案して妥当なセキュリティの高さを保つため、表の共有の制限を緩和し、表のバックアップやパスワードの自動更新等の作業をリマインダ端末121と管理サーバ181が協働して行うようにしても良い。

(表)
図3Aは、本発明の実施例に係るリマインダ端末に表が表示される様子を示す説明図である。図3Bは、本発明の実施例に係るリマインダ端末に表が表示される様子を示す説明図である。以下、これらの図を参照して説明する。

各リソースサーバ161のサーバ名および当該リソースサーバ161にて使用するユーザ名の組み合わせに対応付けられて記憶部201に記憶される表301は、所定の行数および列数の要素からなり、上記のように、各要素には、リマインダ端末121によってランダムに生成された文字列の情報が格納されている。

リマインダ端末121では、表301とともに、リソースサーバ161のIPアドレスやURL等により表現されるサーバID 303(これらの図では「xxx.yyy.com」が例示されており、サーバID 303は、リソースサーバ名に相当する。)と、当該ユーザが当該リソースサーバ161にアクセスする際に利用するユーザ名304(これらの図では「john2014」が例示されている。)と、省略可能な付加要素305と、が画面に表示される。これらの情報は、記憶部201において、相互に対応付けられて記憶されている。

なお、以下の説明では、文言を簡潔にし、理解を用意にするため、リソースサーバ名とユーザ名の組み合わせを、適宜、リソースサーバ名もしくはサーバIDにより代表させて説明する。

これらの図に示す例では、表301は、5行5列に構成されている。図3Aでは、表301の各要素には、ランダムに生成された英小文字2文字が格納されている。図3Bでは、表301の各要素には、ランダムに生成されたひらがな1文字と、これを英小文字で表したローマ字綴りと、が格納されている。なお、ローマ字綴りの表示は、省略することができる。

上記概要で説明したように、本実施例では、先行技術におけるマスターパスワードのかわりに、表301の各要素を選択する選択順序が利用される。

(選択順序)
図4は、本発明の実施例に係る選択順序の例を示す説明図である。以下、本図を参照して説明する。

本図では、表301の右下部にて太い黒矢印に沿って、チェックマークを描くように4つの要素を選ぶ選択順序が示されている。本図に示す選択順序では、4行2列の要素、5行3列の要素、4行4列の要素、3行5列の要素の順に、4つの要素を抜き出す。どの順にいくつの要素を抜き出すか、は、求められるセキュリティのレベルやユーザの習熟度等により、適宜変更が可能である。

図3Aに示す例に対して、図4に示す選択順序を適用して要素を抜き出すと、「bp」「pp」「js」「ld」となる。これらを並べると「bpppjsld」となる。付加要素305がない場合には、この「bpppjsld」が、サーバID 303により識別されるリソースサーバ161用のパスワードとなる。図3Aに示す例では、「#X5」という付加要素305があるため、「bpppjsld」の後に付加要素を連結した「bpppjsld#X5」が、パスワードとなる。

図3Aに示す例では、表301の各要素には、いずれも英小文字の文字列が格納されている。しかしながら、リソースサーバ161のポリシーによっては、英小文字のみからなるパスワードの使用を禁じていることもある。

付加要素305は、パスワードとして利用できる文字種の制限に対応するためのものである。たとえば、英大文字、英小文字、数字、記号をいずれも含む、というポリシーを採用しているリソースサーバ161に対しては、付加要素305として、英大文字、数字、記号を容易することで対応するのである。上述した通り、付加要素305を利用しないことも可能である。

図3Bに示す例に対して、図4に示す選択順序を適用すると、パスワードは、「ちたごわ」となる。パスワードとしてひらがなを利用できるリソースサーバ161では、この文字列をそのままパスワードとして入力すれば良いが、パスワードとして利用できる文字の種類がASCIIコード32-126で表現可能な英字、数字、記号に限定されていることも多い。この場合には、各要素に付記的に示されているローマ字綴りを並べることにより、パスワード「titagowa」が得られる。さらに、本図では、付加要素305「#X5」があるから、パスワードは、「titagowa#X5」となる。

なお、表301の各要素は、英小文字の文字列に限る必要はなく、たとえば、英大文字、英小文字、数字、記号等、任意の情報を利用することができる。

本実施例では、ユーザの選択順序をユーザが記憶しやすくするため、リマインダ端末121に管理されるすべての表301について共通するように、各要素の位置に重複なくガイド文字が割り当てられている。ガイド文字は、省略可能である。図3Aおよび図3Bに示す例では、ガイド文字は各要素の右上隅に英大文字で小さく表示されている。

ガイド文字は、表301を表示すると必ず表示されるようにしても良いし、ユーザの指示に基づいて表示されるようにしても良い。たとえば、ユーザがリマインダ端末121をシェイクする等により指示を与えると、数秒乃至数十秒だけ、ガイド文字が表示される、というものである。

図3Aおよび図3Bに示す例では、5行5列の25個の要素に、英大文字が重複なく割り当てられている。4行2列の要素、5行3列の要素、4行4列の要素、3行5列の要素には、それぞれ、「D」「I」「C」「E」が割り当てられており、ユーザは、自分の選択順序を、当初は、英単語「DICE」により記憶することもできる。選択順序が十分に身についた後は、ガイド文字を表示せずに、表301を目視するだけで、ユーザは、自分の選択順序に沿って表301内の要素を走査することができる。

ユーザに割り当てられた選択順序に対するガイド文字を並べたガイド文字列は、ある程度記憶しやすい文字列であることが望ましい。たとえば、リマインダ端末121の使用を開始する際に、リマインダ端末121は、無地の表をユーザに提示してユーザが定めた選択順序で要素を選択させる。そして、リマインダ端末121は、選択された要素の数を長さとする単語を辞書から適当に選び出したり、ユーザに決めさせたりして、選択順序で抜き出される要素に、その単語に含まれる文字を順に割り当てる。それ以外の要素には、それ以外の文字をランダムに重複なく割り当てれば良い。

さて、セキュリティの観点からは、リソースサーバごとにパスワードを異なるものとし、そのパスワードは、辞書には載っていないような文字列とすることが望ましいが、このような多数のパスワードをユーザが覚えておくことは困難である。そこで、上記のように、本態様では、ユーザは、自分の選択順序を記憶しておく。

そして、各リソースサーバ161用の表301が画面に表示されたら、ユーザは、その表を目視して、ユーザに割り当てられた選択順序で要素を抜き出し、抜き出した要素の中身を並べること、ならびに、適宜付加要素305を追加することにより、パスワードを得る。表301の各要素はランダムであるから、得られるパスワードは、セキュリティ上好ましいランダムな文字列となる。

本態様では、各リソースサーバ161用のパスワードは、分割されて、当該ユーザの選択順序に基づいて表301から選ばれる要素に格納され、必要に応じて、付加要素305に格納される。すなわち、リマインダ端末121は、ランダムな秘密情報を、ほかのランダムなダミー情報に紛れて込ませて記憶していることになる。したがって、リマインダ端末121の画面に表示された表301を窃視しただけでは、パスワードを窃取することはできない。したがって、ランダムなパスワードを安全に管理することができるのである。

なお、図3A、および、図3Bに示す例では、リソースサーバ161のサーバ名を選択するためのナビゲーション311、表の履歴をたどるためのナビゲーション312、ユーザ名を切り換えるためのナビゲーション313が表示されており、ユーザがナビゲーション311、312を操作することにより、リソースサーバ名とユーザ名の組み合わせを切り換えて、他のリソースサーバ161用の情報に表示を切り換えたり、当該リソースサーバ161にて以前に利用されていた表の履歴を辿ったりすることが可能である。これらのUI(User Interface)は、適宜変更が可能である。

本図の例では、ナビゲーション311、313は、サーバID 303やユーザ名304の表示欄のリストボックスであり、当該表示欄を選択すると、リマインダ端末121に登録されたサーバIDやそのリソースサーバにおけるユーザ名の一覧が表示される。リストボックスを開くためのナビゲーション311は、他の候補がある場合には、黒い三角形で表示され(サーバID 303)、他の候補がない場合には、白い三角形で表示されている(ユーザ名304)。ユーザはその中から所望のものを選択する。ナビゲーション312は、表が利用されていた期間を示すバーが表示され、このバーをタップやクリック等すると、その期間に利用されている表の表示/非表示が切り換えられる。表示中のバーには、先頭にバツ印が表示され、閉じられているバーには、先頭に白四角が表示される。また、画面に対してフリック操作やドラッグ操作をすることで、スクロールが可能であり、ファーストビューでは表示されていない履歴を見ることも可能である。

省略可能な要素である送信部203は、表301がユーザに提示された旨の報告を、外部の機器に送信する。この構成により、ユーザがあるリソースサーバ161にアクセスするための必要条件として、当該リソースサーバ161用の表301がリマインダ端末121にて当該ユーザに提示されること、を採用することができる。この構成では、リマインダ端末121は、パスワードを管理する役割を果たすほか、認証用トークンとしても機能することになる。

各リソースサーバ161用のパスワード、ならびに、ユーザに割り当てられる選択順序は、適切なタイミングで、あるいは、ユーザの意思に基づいて更新される。これらの態様については、後述する。

(情報のやりとり)
図5は、本発明の実施例に係る認証システムにおける情報のやりとりの様子を示す説明図である。以下、本図を参照して説明する。

ユーザは、アクセス端末141のブラウザ等でリソースサーバ161の識別情報(たとえばURL)を指定すると(350)、アクセス端末141からリソースサーバ161へ、アクセス要求が送信される(351)。

アクセス要求を受信したリソースサーバ161は、当該アクセス要求に対する応答として、ログインフォームを、アクセス端末141へ送信する(352)。

アクセス端末141で受信されたログインフォームは、アクセス端末141のブラウザ等に表示される(353)。

図6は、本発明の実施例に係るログインフォームを表示したブラウザの様子を示す説明図である。以下、本図を参照して説明する。アクセス端末141のブラウザ501では、URL欄502にリソースサーバ161のURLが表示されており、コンテンツ欄503には、ログインフォーム511が表示される。ログインフォーム511には、ユーザ名欄512、パスワード欄513、および、ログインボタン514が配置されている。また、ブラウザ501にインストールされたプラグインによる処理を実行するためのプラグインアイコン521も表示されている。

ここで、ユーザは、リソースサーバ161用のパスワードを得るため、携帯端末等でリマインダアプリケーションを起動する。すると、当該携帯端末等は、リマインダ端末121として機能し始める。リマインダ端末121は、ユーザの選択(354)に基づいて、リソースサーバ161のサーバ名およびユーザ名の組み合わせに割り当てられた表301等を、リマインダ端末121の画面に提示する(355)。

そして、リマインダ端末121は、表301等をユーザに提示した旨の報告を、管理サーバ181に送信する(356)。管理サーバ181は、当該ユーザおよび当該リソースサーバ161に対して、当該報告を受信した時点を含む有効期間を、当該報告に係るリソースサーバ名およびユーザ名の組み合わせに対して定める。有効期間としては、たとえば「報告が受信されて以降5分以内」等が考えられる。

ユーザは、自身のユーザ名をログインフォーム511のユーザ名欄512に入力し、さらに、リマインダ端末121に表示された表301等を目視して、自身の選択順序に基づいて認証用文字列を取得し、得られた認証用文字列をログインフォーム511のパスワード欄513に入力して、ログインボタン514をクリックもしくはタップする(357)。

すると、ユーザ名ならびにパスワードを伴うログイン要求が、アクセス端末141からリソースサーバ161へ送信される(358)。

ログイン要求を受信したリソースサーバ161は、ユーザ名およびパスワードによる本認証を行い、当該本認証が成功したら、管理サーバ181へ、現在日時が当該ユーザおよび当該リソースサーバ161に対して許可条件が満たされているか否かを問い合わせる(359)。

ここで、上記のように、許可条件「問合せに係るリソースサーバ名とユーザ名の組み合わせに対して定められた有効期間内に、問合せが管理サーバに受信された」を採用すれば、ユーザがセキュリティトークンとして機能するリマインダ端末121を持っているか否かを判定することができる。管理サーバ181は、リソースサーバ161へ問い合わせに対する回答を返す(360)。

許可条件が満たされていれば、当該ユーザが当該ユーザ名により当該リソースサーバ161の資源を利用する権限を有するものと判定して、リソースサーバ161は、認証成功の旨をアクセス端末141へ送信し(361)、ユーザは、アクセス端末141を介してリソースサーバ161の資源を利用する(362)。

許可条件が満たされない旨の回答があった場合や、ユーザ名とパスワードによる本認証が失敗した場合は、リソースサーバ161は、有効期間外の旨をアクセス端末141へ送信する。また、前者の場合には、リマインダ端末121を起動するようユーザに求める。この場合、ユーザは、リマインダ端末121を起動した後に、アクセス端末141に表示されたログインフォーム511から再度ログインを試みる(図示せず)。

ユーザ名とパスワードによる本認証が失敗した場合には、リソースサーバ161は、認証失敗の旨をアクセス端末141へ送信する。ユーザは、アクセス端末141に表示されたログインフォーム511において、ユーザ名もしくはパスワードを再入力してから、再度ログインを試みる必要がある(図示せず)。

なお、許可条件の問合せ/回答を、リソースサーバ161におけるユーザ名およびパスワードによる本認証の事前に行うこととしても良い。許可条件の成立を事前認証として採用した場合には、後述するように、事前認証が成功しない限り、アクセス端末141にてパスワードが入力できないようにすることも可能である。

上記の説明では、リソースサーバ161から管理サーバ181へ、許可条件「現在日時が当該ユーザおよび当該リソースサーバ161に対して定められた有効期間に含まれる」が成立するか否かを問い合わせているが、有効期間やそのものを問い合わせても良い。この場合には、管理サーバ181は、最も最新に定められた有効期間、もしくは、最近有効期間が定められたことがないことを回答する。また、リソースサーバ161から管理サーバ181へ、報告の受信日時を問い合わせても良い。この場合には、管理サーバ181は、最も最新に受信された報告の受信時刻、もしくは、最近報告が受信されていないことを回答し、リソースサーバ161が当該ユーザに対する有効期間を定める。

このように、本態様では、リマインダ端末121をセキュリティトークンとして利用することとしているが、この機能は省略することも可能である。この場合には、有効期間の決定や判定は行わず、ユーザ名とパスワードによる本認証だけが、リソースサーバ161にて行われることになる。

(スクリプトの利用)
なお、アクセス端末141のブラウザ501等に表示されたログインフォーム511においては、JavaScript(登録商標)による非同期XML通信技術であるAJAX等によるスクリプトを用いて、以下のように構成しても良い。

すなわち、
(1)スクリプトは、ユーザ名欄512に文字が入力される度に、アクセス端末141は、リソースサーバ161もしくは管理サーバ181へ、現在日時が、ユーザ名欄512に入力済の文字列からなるユーザ名を持つユーザに対して定められた有効期間内か、を問い合わせる。
(2)問い合わせ先は、アクセス端末141からの問い合わせに回答する。問い合わせ先がリソースサーバ161であれば、リソースサーバ161は、管理サーバ181へ適宜有効期間に係る問い合わせを行って、その内容に基づいて、アクセス端末141へ回答する。
(3a)有効期間内であれば、スクリプトは、パスワード欄513を編集可能ならびに可視状態に設定する。
(3b)有効期間外であれば、スクリプトは、パスワード欄513を編集不可能もしくは不可視状態に設定する。
(4)スクリプトは、パスワード欄513に文字列が入力されるまでは、ログインボタン514を操作不可能もしくは不可視状態に設定し、文字列が入力された後に、操作可能ならびに可視状態に設定する。

この態様では、ユーザは、リマインダ端末121を起動しなければ、パスワードを入力することができないため、第三者による不正アクセスを効果的に抑制することができる。

(リマインダ端末の自動起動)
上記説明では、リソースサーバ161にアクセスしようとするユーザが自発的にリマインダ端末121を起動していたが、アクセス端末141で動作するブラウザ501のプラグイン、および、携帯端末等が備える通知の受取機能を利用することで、簡易にリマインダ端末121を起動することができる。

すなわち、ブラウザ501のプラグインは、表示されているURLのコンテンツに、文字を隠して入力するためのフィールドが含まれているか否かを監視する。当該フィールドは、たとえば、コンテンツが、HTML(HyperText Markup Language)における<input type="password">タグにより表現される要素を含むか否かにより、識別可能である。

上記フィールドが含まれていたら、プラグインは、自動的に、もしくは、プラグインアイコン521のユーザによるクリック等を契機として、リマインダ端末121を実現する携帯端末に通知を送るための処理を実行する。典型的には、以下のような処理がなされる。

プラグインは、携帯端末等のOS(Operating System)を提供するベンダー等が用意した通知サーバに対して、通知の宛先ユーザ、宛先アプリケーションおよび通知内容を指定した依頼を送信する。なお、プラグインは、管理サーバ181に依頼を出し、依頼を受けた管理サーバ181が通知サーバにアクセスするという態様をとることとしても良い。また、携帯端末等に結び付けられる宛先ユーザの情報は、プラグインのインストール時にユーザが設定する。

依頼を受信した通知サーバは、依頼に指定された宛先ユーザの携帯端末等を識別して、当該携帯端末等のアプリケーションに指定された通知内容を通知する。

通知を受信した携帯端末等は、通知内容をポップアップ表示あるいは通知センター等にまとめて表示する。ユーザが、当該通知内容をタップ等して選択すると、通知に係るアプリケーションが起動して、通知内容に応じた処理が開始される。

通知内容には、ブラウザに表示されているコンテンツのURLが含まれている。そこで、リマインダ端末121は、当該URLとマッチするサーバIDに結び付けられた表301が登録されていれば、これをユーザに提示する。もっとも単純には、URL内に示されたドメイン名とサーバIDとして使われるドメイン名が一致していれば、URLがマッチしたものと判定するが、URL全体が一致する、あるいは、URLのうちオプションパラメータを除去した部分が一致する、等により、マッチの可否を判定しても良い。

登録されていなければ、リマインダ端末121は、未登録である旨の警告を表示しても良いし、当該リソースサーバ161に対する表301を登録するよう、ユーザに求めても良い。登録を求める処理については、後述する。

上記の態様を組み合わせた場合、所望のリソースサーバ161に対するログインフォーム511がブラウザに表示されると、自動もしくは手動で、リマインダ端末121に当該リソースサーバ161に対する表301が表示される。リソースサーバ161が未登録であることが原因で、リマインダ端末121が表301を表示できない場合には、ユーザがその旨を知得できるとともに、パスワード欄513への入力ならびにログインボタン514の操作ができなくなる。このため、たとえば、偽装サイトへのログインを、効果的に抑制することができる。

なお、後述するように、ユーザがリマインダ端末121にて、リソースサーバ161に対する現在のパスワードを含む表301を登録した場合や、リソースサーバ161におけるパスワードを更新するとともにリマインダ端末121における管理を開始するための操作を行った場合には、その旨の報告がリマインダ端末121からなされ、パスワード欄513への入力ならびにログインボタン514の操作が可能となる。

このほか、携帯端末への通知には、通知サーバを介さずに、以下に説明する近傍通信を利用しても良い。すなわち、アクセス端末141で動作するブラウザ501のプラグインが、携帯端末等と近傍通信して、必要に応じて携帯端末等にてプログラムを起動する切っ掛けを与え、携帯端末等をリマインダ端末121として機能させる。

(近傍通信によるパスワード入力)
リマインダ端末121とアクセス端末141が近傍にあって通信可能であることを利用すれば、ユーザが手作業で認証用文字列を入力するのではなく、リマインダ端末121に提示された表から要素を順に選択するだけで、アクセス端末141に表示されたログインフォーム511のユーザ名欄512とパスワード欄513に認証用文字列が入力されるように構成することもできる。

まず、アクセス端末141では、プラグインが動作している。このプラグインは、ブラウザに拡張機能を提供するプログラム、もしくは、ブラウザの動作を監視する常駐プログラムである。

プラグインは、アクセス端末141の近傍に、近傍通信が可能なリマインダ端末121があるか否かを、常時、間欠的、もしくは、プラグインアイコン521のクリック等のユーザの指示操作に基づいてモニターする。ここで、近傍通信とは、所定の距離内で確立された有線接続あるいは無線接続を採用することができる。たとえば、同一のWIFIアクセスポイントにアクセス端末141とリマインダ端末121が無線接続されている場合や、アクセス端末141とリマインダ端末121がBluetooth(登録商標)やNFCにより無線通信可能となっている場合、アクセス端末141とリマインダ端末121がUSBケーブルなどにより直接有線接続されている場合等に、近傍通信が確立されることとする。

リマインダ端末121は、ユーザに対して表を提示すると、近傍通信が確立したアクセス端末141に対して、その旨の報告を送信する。

報告を受信したアクセス端末141のプラグインは、アクセス端末141のブラウザに表示されているログインフォーム511のURLが、報告に係るリソースサーバ名にマッチするか否かを判定し、その結果をリマインダ端末121に送信する。さらに、アクセス端末141のプラグインは、マッチしていれば、報告に係るユーザ名を、ログインフォーム511のユーザ名欄512に入力する。

リマインダ端末121は、アクセス端末141から受信した結果に基づき、アクセス端末141のブラウザに表示されているログインフォーム511用の表がリマインダ端末121にてユーザに提示されていれば、ユーザが当該表の各要素あるいは付加要素305を選択する操作(たとえば、表の要素をタップあるいはクリックする操作等)をする毎に、当該選択された要素に格納された文字列を、アクセス端末141に送る。

アクセス端末141のプラグインは、リマインダ端末121から送られた文字列を、ログインフォーム511のパスワード欄513に入力する。したがって、リマインダ端末121は、アクセス端末141に対する特殊なキーボードとして機能することになる。

自分の選択順序による要素選択が完了したら、ユーザは、アクセス端末141のログインフォーム511にて、ログインボタン514を操作する。

この態様では、ユーザは、表を目視してランダムな文字列を抜き出す必要も、ログインフォーム511のパスワード欄513に直接認証用文字列を入力する必要もない。したがって、リマインダ端末121とアクセス端末141の近傍通信が確立している間は、表301の各要素ならびに付加要素305を選択操作できるようなボタンやラベルを表示すれば十分であり、これらの要素に格納された文字列を表示する必要はない。この場合、ガイド文字は、表301の各要素の桝目の位置を確認しやすくするために表示しても良いし、ガイド文字の表示は、省略しても良い。

表301の各要素ならびに付加要素305に格納された文字列をリマインダ端末121にて表示するためには、所定のリマインダ端末121にて、別途リマインダ端末121にて用意された補助認証(たとえば、リマインダ端末121を構成する携帯電話等のOSにより実装された暗証番号による認証や指紋認証等。)を要することとしても良い。

このほか、リマインダ端末121は、アクセス端末141のプラグインとの近傍通信が確立している間は、表301を表示するが、近傍通信が切れていれば、リマインダ端末121にて補助認証が成功しない限り、表301は表示しないこととしても良い。

これらの態様では、リマインダ端末121が盗まれた場合であっても、表そのものを窃視することが困難となる。

なお、アクセス端末141とリマインダ端末121の近傍通信を利用して、リマインダ端末121を特殊キーボードとして機能させる態様では、認証システム101から管理サーバ181に係る要素を省略することも可能である。

以上説明した通り、これらの態様によれば、人間が記憶しにくい多数のランダムなパスワードを、リマインダ端末121にて安全に管理することができる。

また、リマインダ端末121にてパスワードが分割されて他の要素に紛れ込ませて埋め込まれた表がユーザに提示されたことを、パスワードそのものの吟味に対する事前認証の要件として採用すれば、パスワードのブルートフォース攻撃を効果的に抑制することができる。

さらに、リマインダ端末121にて表がユーザに提示されるまで、パスワード入力等ができないようにすることで、リマインダ端末121が認証用トークンとして機能していることをユーザが確認できる。

このほか、アクセス端末141のブラウザ等のプラグインとリマインダ端末121を組み合わせて利用することで、URL偽装などによる被害を効果的に防止することができる。

(変形例)
上記の態様では、アクセス要求がアクセス端末141からリソースサーバ161へ送られ、ログインフォーム511がリソースサーバ161からアクセス端末141へ送られ、ユーザはパスワードをアクセス端末141に入力することとしていたが、パスワードの入力は、アクセス端末141以外の認証端末から行われることとしても良い。認証端末は、リマインダ端末121と同じ機器でも良いし、異なる機器でも良い。

たとえば、アクセス要求がアクセス端末141からリソースサーバ161へ送られると、リソースサーバ161は、アクセス要求に指定されたユーザ名に対してあらかじめ割り当てられたスマートフォン等の認証端末を識別して、当該認証端末上で動作するアプリケーションに通知を送る。さらに、アクセス端末141のブラウザでは、認証待ちの画面表示がなされる。

ユーザが認証端末にて当該通知に反応すると、認証端末でアプリケーションが起動して、ログインフォーム511が表示される。ユーザが認証端末のログインフォーム511にパスワード等を入力すると、これらの情報がリソースサーバ161に送られ、ログイン認証が行われる。認証が成功すると、アクセス端末141のブラウザは、認証待ちの画面表示からアクセス表の画面表示に移行する。そして、ユーザは、アクセス端末141を介して、リソースサーバ161の資源を利用できるようになる。

上記のように、この態様では、認証端末と、リマインダ端末121と、を、同一の端末上で実現することが可能である。すなわち、アクセス要求に関する通知がリマインダ端末121に送られると、当該リソースサーバ161に対して登録されているユーザ名と、当該リソースサーバ161に対応付けられる表301と、パスワードを入力するための入力欄と、が画面に表示される。

ユーザは、リマインダ端末121で表301を見ながら、入力欄にパスワードを入力する。入力が完了すると、ユーザ名とパスワードがリマインダ端末121からリソースサーバ161へ送られる。リソースサーバ161での認証が成功すると、ユーザは、アクセス端末141を介して、リソースサーバ161の資源を利用できるようになる。

ブラウザプラグインを利用している場合には、以下のような態様も可能である。すなわち、アクセス端末141にてログインフォーム511が表示された段階で、プラグインを起動すると、リマインダ端末121に通知が送られる。

ユーザがこの通知に反応すると、当該リソースサーバ161に対して登録されているユーザ名と、当該リソースサーバ161に対応付けられる表301と、パスワードを入力するための入力欄と、が、リマインダ端末121の画面に表示される。

ユーザは、表301を見ながら、入力欄にパスワードを入力する。入力が完了すると、ユーザ名とパスワードがアクセス端末141のブラウザプラグインへ送られる。

ブラウザプラグインは、受け取ったユーザ名とパスワードをログインフォーム511に入力して、ログインボタン514を動作させる(ユーザに操作させても良い)。すると、アクセス端末141からリソースサーバ161へ、ログイン要求が送信される。以下上記と同様である。

この態様では、リマインダ端末121や管理サーバ181の存在を前提とせずにサービスを提供しているリソースサーバ161であっても、アクセス端末141にブラウザプラグインを導入するだけで、リマインダ端末121を利用したパスワード管理が可能となる。

なお、ユーザ名とパスワードの認証については、リソースサーバ161が管理サーバ181に委託する形態をとることも可能である。この場合には、ユーザ名とパスワードは、適宜管理サーバ181に送信され、リソースサーバ161は、認証の成否を管理サーバ181に問い合わせることとなる。

(既存のパスワードを利用)
上記の説明では、リマインダ端末121に登録された表301の各要素は、ランダムに生成されていることを前提としていたが、既存のリソースサーバ161をパスワードを変更せずにリマインダ端末121に登録する際には、たとえば、以下のような手順をとれば良い。

すなわち、
(1)リマインダ端末121は、ユーザに、無地の表を提示する。
(2)ユーザは、既存のリソースサーバ161のパスワードを自分で分割して、自分の選択順序にしたがって、無地の表に手動で書き込んでいく。
(3)分割されたパスワードの書き込みが終わったら、リマインダ端末121が、それ以外の要素に、ランダムに生成された文字列を埋め込む。
(4)できあがった表を、既存のリソースサーバ161のサーバIDに対応付けて、リマインダ端末121の記憶部201に記憶する。

この手順により、既にパスワードが設定されているリソースサーバ161がある場合でも、パスワードを変更せずに、当該パスワードの管理をリマインダ端末121に委ねることができる。この態様では、管理サーバ181を介した許可条件による認証を省略することで、任意のリソースサーバ161に対応することが可能となる。

なお、この際に、リマインダ端末121は、できあがった表が十分にランダムであるか、を検査しても良い。ランダム性が低い場合には、ユーザにパスワードを変更させることが望ましい。また、ユーザが分割されたパスワードの書き込みを終えた段階で、書き込みがされた要素を、リマインダ端末121に既に登録されている他の表の同じ場所の要素と対比して、重複している場合にも、既存のパスワードをそのまま使用するのではなく、パスワードを変更するようユーザに促すことが望ましい。

  (パスワードの登録・更新)
  当初からリマインダ端末121にてリソースサーバ161用のパスワードの管理を開始する際には、リソースサーバ161のリソースサーバ名およびユーザ名の組み合わせに対する表を新たに生成して、その表から取得された登録用文字列をパスワードとしてリソースサーバ161に登録する必要がある。
  また、一旦リマインダ端末121にてリソースサーバ161用のパスワードの管理を開始した後は、定期的に、パスワードを変更することが望ましい。従来より、サーバへログインした時に、パスワードが前回更新されてから一定期間(たとえば90日間)経過していると、パスワードを変更するよう警告する対策はとられているが、パスワードを変更する際には、新たなパスワードを考え直す手間がある。

そこで、本態様では、リマインダ端末121が、パスワードの登録および更新を助ける。

すなわち、リマインダ端末121の表生成部204は、リソースサーバ名とユーザ名の各組み合わせに対する新規登録の場合や、既に登録がされ表が記憶部201に記憶された後、当該組み合わせに対応付けられる更新期間を経過すると、新たな表を生成する。

更新期間は、前回の表の生成から一定期間を経過するまで、とするのが典型的であるが、たとえば表の提示頻度に応じて更新すべき時期を設定することとしても良い。

新たな表においても、各要素に格納される情報は、ランダムに生成される。また、付加要素は、ユーザが指定しても良いし、現在利用されている表と同じ字種の情報をランダムに生成しても良いし、現在の付加要素をそのまま引き継いでも良い。

ユーザに割り当てられた選択順序で要素を抜き出し、必要があれば付加要素を追加すれば、当該リソースサーバ161用の登録用文字列が得られる。

そして、新規登録の場合には、パスワード登録部205は、生成された表を提示し、更新登録の場合には、パスワード登録部205は、当該リソースサーバ161用の現在の表と、当該新たな表と、を、提示して、当該リソースサーバ161におけるパスワードを新規登録あるいは更新登録するよう促す。

図7は、本発明の実施例に係るパスワードの更新用に表示される表の様子を示す説明図である。以下、本図を参照して説明する。

リソースサーバ161のパスワード更新にあたっては、現在使っているパスワードと、新しいパスワードの両方の入力を求められることが多い。リマインダ端末121では、各リソースサーバ161用に使われた表の履歴を閲覧できるように構成することが望ましい。パスワード更新時には、新旧の表を、同時に閲覧できるとユーザの手間が少ない。

本図は、図3Aに示す表に基づくパスワードを更新するためのリマインダ端末における表示例を示しており、表301内の各要素および付加要素305には、上段に現在の要素、下段に新しい要素が表示されている。

なお、新規登録の場合には、「現在の要素」は存在しないので、新しい要素のみを表示すれば良い。

また、リソースサーバ161においてユーザが手動でパスワードの新規登録もしくは更新登録を完了したときには、完了ボタン321をクリックもしくはタップすると、表登録部206は、当該新たな表を当該リソースサーバ161に対応付けて記憶部201に記憶させる。また、更新登録の場合には、以前の表を、履歴情報として記憶させる。この際には、リマインダ端末121が管理する表の情報を、管理サーバ181に暗号化してバックアップする処理を行うこととしても良い。キャンセルボタン322をクリックもしくはタップすれば、更新はキャンセルされる。

上記説明では、ユーザがパスワードの更新を手動で行っていたが、ユーザの選択順序自体がリマインダ端末121や管理サーバ181で管理されており、必要に応じて参照できるようであれば、リマインダ端末121や管理サーバ181がリソースサーバ161にアクセスすることにより、定期的、自動的にパスワードを更新することも可能である。

また、パスワードを更新しようとするときに、リマインダ端末121が、ユーザに、図7に表示された表301を、当該ユーザの選択順序でタップさせることにより、新旧の両パスワードを取得し、リマインダ端末121が、当該取得された新旧のパスワードを利用して、リソースサーバ161にアクセスし、自動的にパスワードを更新する、という態様を採用しても良い。

この場合には、リマインダ端末121のRAM(Random Acess Memory)に取得された選択順序や新旧のパスワードが一時的に記憶されることとなるので、パスワードを更新した後に、当該一時的に記憶された領域を消去することが望ましい。

本態様によれば、リソースサーバ161用のパスワードとして、辞書に載っていないような、ランダムな文字列を使うことができ、パスワードを定期的に更新することも、容易にできるようになる。

(選択順序の更新)
本実施例によれば、各リソースサーバ用のパスワードを個別に更新するだけでなく、ユーザに割り当てられる選択順序を更新することもできる。これは、従来技術でいうマスターパスワードの更新に相当する。

まず、ユーザが、選択順序を更新しようとすると、リマインダ端末121は、ユーザ用の新しいガイド文字列を生成する。上記の例では、表301は5行5列で構成されており、各要素には英大文字のガイド文字が1文字割り当てられる。本実施例では、表301内から4つの要素を順に選択する選択順序が採用されている。したがって、ユーザ用の新しいガイド文字列として、英大文字4文字からなり、各文字が互いに重複しないものを生成することになる。

ガイド文字列は、選択順序を更新する毎に変更することが望ましい。たとえば、ガイド文字列は、ランダムに生成することができる。辞書などを利用して、記憶しやすい綴りを採用することとしても良い。たとえば、4文字の綴りからなる単語(たとえば「SNOW」「MAZE」)を採用しても良いし、5文字以上の単語の接頭部分(たとえば「TABLE」の接頭部「TABL」、「SCHOOL」の接頭部「SCHO」)を採用することとしても良い。

さらに、上記のような記憶しやすい綴りの候補を何個かランダムにユーザに提示した上で、いずれかをユーザに選択させても良い。このほか、選択順序の更新毎に、ユーザにガイド文字列を考えさせる態様もありうる。以下では、理解を用意にするため、新しいガイド文字列として「SCHO」が生成されたものとして説明する。

そして、リマインダ端末121の受付部207は、リマインダ端末121で管理している各リソースサーバ161用の表と同じ行数、列数の試行表を、ユーザに提示する。図8Aは、これまで使用してきた選択順序がユーザにより選択される様子を示す説明図である。以下、本図を参照して説明する。

本図に示す例では、試行表551は、5行5列で構成されており、各要素の中には、最後に使用したリソースサーバ161用の表の要素と同じ情報が、ユーザの参考とするために表示されている。

また、本図に示すように、リマインダ端末121の受付部207は、当該ユーザに、ユーザに割り当てられた選択順序で当該試行表551の要素をタップあるいはクリック等して選択するように求める。以下では、ユーザは、現在、図4に示される選択順序(4行2列、5行3列、4行4列、3行5列)を使用しているものとして、説明する。

図8Bは、これまで使用してきた選択順序がユーザにより選択される様子を示す説明図である。本図に示すように、ユーザが試行表551内にて最初の要素(4行2列)を選択すると、当該要素内のガイド文字に生成された新たなガイド文字列の最初の文字「S」が追加される。

図8Cは、これまで使用してきた選択順序がユーザにより選択される様子を示す説明図である。本図に示すように、試行表551内にて2番目の要素(5行3列)を選択すると、当該要素内のガイド文字に生成された新たなガイド文字列の最初の文字「C」が追加される。

図8Dは、これまで使用してきた選択順序がユーザにより選択される様子を示す説明図である。本図に示すように、試行表551内にて3番目の要素(4行4列)を選択すると、当該要素内のガイド文字に生成された新たなガイド文字列の最初の文字「H」が追加される。

図8Eは、これまで使用してきた選択順序がユーザにより選択される様子を示す説明図である。以下、これらの図を参照して説明する。本図に示すように、試行表551内にて4番目の要素(3行5列)を選択すると、当該要素内のガイド文字に生成された新たなガイド文字列の最初の文字「O」が追加される。

このように、現在の選択順序に応じて試行表551内の要素を選択すると、その度に、生成された新たなガイド文字列のうち、当該要素の順序に応じた文字が、選択された要素内に明示される。したがって、ユーザは、新しい選択順序用に用意された新しいガイド文字列が「SCHO」であることがわかる。

現在の選択順序の入力が完了し、ユーザが進むボタン552をタップもしくはクリックすると、受付部207は、試行表551と同じ行数、列数の移行表を、ユーザに提示する。図9Aは、新しい選択順序がユーザにより選択される様子を示す説明図である。本図に示すように、受付部207は、移行表561をリマインダ端末121の画面に表示する。

移行表561は5行5列の無地の表であり、リマインダ端末121は、ユーザが新たに利用しようとする選択順序で移行表561内の要素をタップあるいはクリック等して選択するように、ユーザに求める。

図9Bは、新しい選択順序の1番目がユーザにより選択される様子を示す説明図である。図9Cは、新しい選択順序の2番目がユーザにより選択される様子を示す説明図である。図9Dは、新しい選択順序の3番目がユーザにより選択される様子を示す説明図である。図9Eは、新しい選択順序の4番目がユーザにより選択される様子を示す説明図である。以下、これらの図を参照して説明する。

ユーザが新しい選択順序の1番目として、1行1列の位置の要素を選んだとする。すると、図9Bに示すように、移行表561の1行1列の要素に、試行表551においてユーザが1番目に選択した要素(4行2列)の中身が転写される。また、新しいガイド文字列の最初の文字「S」も明示される。

次に、新しい選択順序の2番目として、2行2列の位置の要素を選んだとする。すると、図9Cに示すように、移行表561の2行2列の要素に、試行表551においてユーザが2番目に選択した要素(5行3列)の中身が転写される。また、新しいガイド文字列の2番目の文字「C」も明示される。

ついで、新しい選択順序の3番目として、5行5列の位置の要素を選んだとする。すると、図9Dに示すように、移行表561の5行5列の要素に、試行表551においてユーザが3番目に選択した要素(4行4列)の中身が転写される。また、新しいガイド文字列の3番目の文字「H」も明示される。

最後に、新しい選択順序の3番目として、2行5列の位置の要素を選んだとする。すると、図9Eに示すように、移行表561の2行5列の要素に、試行表551においてユーザが最後に選択した要素(2行5列)の中身が転写される。また、新しいガイド文字列の最後の文字「O」も明示される。

なお、本例では、4番目の選択順序の場所は変化していないが、が、1番目から3番目の選択順序の場所が変化している。このように、選択順序の更新の際には、選択順序の一部について変化させるだけでも、良いし、全部を変化させても良い。

このように、新しい選択順序により移行表561内において要素を選択すると、移行表561内に、最後に参照されたパスワードが順次表示されるとともに、新しいガイド文字列が順次表示される。したがって、ユーザは、これまでの選択順序の入力に誤りがないか確認することができるとともに、新しい選択順序を記憶するための助けとなる新しいガイド文字列を確認することができる。

この後、リマインダ端末121は、選択順序を更新して良いかユーザに問い合わせる。ユーザが、選択順序の更新を希望する場合には、ユーザは、更新ボタン562を選択する。すると、リマインダ端末121の規則生成部208は、表の変換規則を1つ生成する。この変換規則は、以下を満たすものである。
(s)サンプルの表においてユーザが採用した選択順序により抜き出される要素の内容を、無地の表においてユーザが採用した選択順序により抜き出される要素に移動し、
(t)前記あらかじめ割り当てられた選択順序により抜き出される要素以外の要素の内容を、前記新たに割り当てられるべき選択順序により抜き出される要素以外の要素に移動する。

  規則(s)は、ユーザの指示に基づくものである。上記の例では、規則(s)により、
    4行2列 -> 1行1列;
    5行3列 -> 2行2列;
    4行4列 -> 5行5列;
    3行5列 -> 2行5列
のように、要素が移動される。

規則(t)は、残りの要素(ユーザのこれまでの選択順序に含まれる要素以外の要素)をランダムに移動させるものである。

リマインダ端末121の全更新部209は、各リソースサーバに対応付けて記憶される表を、当該生成された変換規則により、更新する。すなわち、登録済みのリソースサーバのサーバ名およびユーザ名のすべての組み合わせに対する表が、過去の履歴に含まれるものも含め、共通する変換規則により、一括して更新されるのである。すべての表が更新されたら、更新後の情報を、管理サーバ181にバックアップする。

本態様によれば、ユーザの選択順序を容易に更新することができるようになる。

なお、桝目の隅に英字やひらがなを一定期間小さく表示し、表が表示された回数や、選択順序が更新されてからの経過時間に応じて、次第に隅の表示を見えにくくしていく等により、更新当初は、隅の文字をたよりにパスワードを取得し、慣れるにしたがって、隅の文字に頼らず、自分の選択順序で表からパスワードを抽出するようにしても良い。

なお、選択順序にしたがって桝目の隅に表示された文字を並べると、記憶しやすい単語等になるように、隅の文字を配置しても良い。この場合には、リマインダ端末121は、新しい選択順序の長さと同じ文字数の単語であって、含まれる文字が互いに異なるものを辞書等から選び、当該新しい選択順序にしたがって、各要素の隅にその単語の綴りの文字を順に並べ、その他の要素には、選ばれた単語には出現しない文字を互いに重複しないようにランダムに配置する。

図10は、新しい選択順序により更新された表の様子を示す説明図である。本図は、上記の手順で図3Aに示す表について選択順序を更新したものである。

図11は、新しい選択順序により他の表が更新される前後の様子を示す説明図である。本図は、上記の手順で同じリマインダ端末121に記憶された他のリソースサーバ名およびユーザ名の組み合わせに対して記憶された表についても、一括して選択順序が更新される様子を表したものであり、本図に示す表は、4桁の暗証番号を管理している。

これらの図に示すように、表の各要素の位置は、更新前後で、表同士で互いに共通する変換規則で入れ替わっている。また、変換規則による入れ換えとは独立して、ガイド文字も更新前後で変化しているが、ガイド文字の配置は、更新前の表同士は共通しており、更新後の表同士も共通している。すなわち、いずれのリソースサーバ161に対する表においても、どの位置にどのガイド文字が表示されるか、は、共通している。

たとえば、選択規則の更新前の図3Aに示す表に対しては、ガイド文字「DICE」に基づいて、パスワード「bpppjsld#X5」が得られ、選択規則の更新後の図10に示す表に対しては、ガイド文字「SCHO」に基づいてパスワード「bpppjsld#X5」が得られる。

これと同様に、図11に示すリソースサーバ161のサーバ名「www.zzz.com」およびユーザ名「paul」の組み合わせについては、付加要素がないため、更新前はガイド文字「DICE」に基づいて、4桁の暗証番号「6441」が得られ、更新後は、ガイド文字「SCHO」に基づいて同じ暗証番号「6441」が得られることになる。

なお、選択順序に対するガイド文字列は、選択順序の更新時にリマインダ端末121で一時的に保持され、その後はメモリから消去されるように構成すれば、リマインダ端末121が窃取されたとしても、選択順序が直ちに漏洩することはない。

この態様では、ユーザが新しい選択順序に慣れない間は、ユーザは、桝目内の隅の文字を頼りにパスワードを取得することができる。更新から一定期間を経過したり、表301を表示した際にガイド文字を表示しなかったことが一定回数連続して生じたこと等に基づいて、ユーザが十分に新しい選択順序を覚えたと判断した場合には、ガイド文字を完全に消去することとしても良い。この場合には、次回の選択順序の更新の際には、これまでに使用していたガイド文字は、表示されない。この態様では、セキュリティをさらに向上させることができる。

(他のリソースサーバへの依存)
上記した態様には、リソースサーバ161の資源を利用するための事前認証として、当該リソースサーバ161用の表がリマインダ端末121において表示されることを利用し、管理サーバ181と協働することによって事前認証が成功したことを条件に、リソースサーバ161にてユーザ名とパスワードによる本認証に進める態様、すなわち、許可条件が成立したことを確認した後に本認証を行う態様が含まれている。この態様では、リソースサーバ161は、事前認証が成功したか否かを、管理サーバ181に問い合わせていた。

以下では、この態様の拡張例について説明する。まず、この態様では、リソースサーバ161における本認証に先立って、リソースサーバ161から管理サーバ181へ事前認証の成否の問い合わせがされ、管理サーバ181からリソースサーバ161へ事前認証の成功の回答がされた後に、リソースサーバ161から管理サーバ181へ、本認証が成功したか否かを連絡することを前提とする。

その上で、リソースサーバXにおける事前認証の判断基準として、「ユーザがリマインダ端末121において当該リソースサーバX用の表を閲覧したこと」のほか、あるいは、これと組み合わせて、「当該リソースサーバXが依存するリソースサーバYにおいて、本認証が成功しており、現在が、当該成功の日時から定められる依存期間内であること」を採用するのである。依存期間は、適宜定めることが可能である。

リソースサーバYに依存するリソースサーバXにおける事前認証が成功した後は、リソースサーバX用のパスワードによる本認証を行うのが典型的であるが、これを省略することもできる。たとえば、リソースサーバYにおいて本認証が成功してから所定の短期間内であれば、リソースサーバXにおける本認証は省略する、等の態様である。

また、事前認証にレベルを設けても良い。たとえば、リソースサーバYにおいて本認証が成功してから所定の短期間内であれば、ユーザがリソースサーバX用の表をリマインダ端末121において閲覧するだけで、本認証は成功するが、リソースサーバYにおいて本認証が成功してから相当期間が経過していれば、リソースサーバX用のパスワードの入力による本認証を求める、等の態様である。

依存期間は、適宜定めることができる。たとえば、リソースサーバYが、学生が大学からの告知を閲覧したり、レポートを提出するための学内システムであり、リソースサーバXが、ある大学の学生に対して学外の企業が提供する掲示版システムである場合には、リソースサーバXにおける依存期間は、「リソースサーバYにおいてある学生が本認証を成功させた時点」から、「当該本認証が成功された時点を含む年度の末日」までとなる。

なお、本認証の後に許可条件の判定を行う態様と、事前認証の後に本認証を行う態様とを組み合わせることも可能である。本認証の後に許可条件の判定を行う態様では、リソースサーバ161にて本認証が成功しなければ、管理サーバ181への問合せは行われない。したがって、本認証の成功の可否をリソースサーバ161から管理サーバ181へ連絡する必要はない。

(時刻同期する暗号化)
リマインダ端末121を特殊キーボードとする態様では、セキュリティを高めるため、リマインダ端末121とリソースサーバ161との間で時刻同期する暗号化方式を共有することもできる。あるリソースサーバ161で管理されるユーザ名毎に異なるシードが与えられ、異なる暗号化方式により時刻同期することとしても良いし、リソースサーバ161のユーザ全体が1つのシードに基づいて時刻同期する暗号化方式を共有しても良い。

すなわち、リマインダ端末121とリソースサーバ161は、時刻同期する暗号化方式を共有している。

リマインダ端末121では、表301がユーザに提示される。この際に、各要素に格納された文字列は表示しても良いし隠しても良い。ユーザが自分の選択順序に基づいて表301の要素の桝目をすべて選択し、最後に付加要素305の桝目を選択すると、リマインダ端末121は、選択された要素に格納された文字列と付加要素(空文字列であっても良い。)を連結して、文字列を得る。

そして、連結結果の文字列を、上記の時刻同期暗号化方式により、暗号化して、これを認証用文字列として、アクセス端末141に送る。

したがって、本態様では、要素を選ぶごとにパスワード欄513が充填されるのではなく、付加要素305の桝目を選んだときに初めて、これまでに選択した表301内の要素の文字列と付加要素の連結および暗号化が行われる。

このユーザインターフェースは変更可能である。たとえば、アクセス端末141との近傍通信ができる場合には、以下のように構成することもできる。すなわち、リマインダ端末121では、「送る」ボタン等の入力完了を表すオブジェクトを用意する。ユーザが表301内の各要素の桝目を選んでから「送る」ボタン等を選ぶと、表301内の要素の文字列と付加要素の連結および暗号化を行う。

さて、リマインダ端末121から認証用文字列がアクセス端末141に送られると、アクセス端末141は、パスワード欄513にこれを入力する。以降の処理は、上記の例と同様としても良いし、入力したら直ちにログインフォームをリソースサーバ161に送ることとしても良い。

リソースサーバ161は、アクセス端末141から要求を受け付けると、要求に指定された認証用文字列を、時刻同期する暗号化方式に基づいて復号する。

復号に成功した場合には、復号された文字列をパスワードとみなして、認証を行う。

一方、復号に失敗した場合には、アクセス端末141から生のパスワードが送られたものとみなして、認証を行う。

あるいは、リマインダ端末121は、上記の態様と同様に、ユーザが表301の各要素や付加要素を選択する度に当該要素を暗号化してアクセス端末141に送り、アクセス端末141は送られた各暗号化済文字列をパスワード欄513に充填することとしても良い。

リソースサーバ161の復号は、アクセス端末141から送られた要求に指定される認証用文字列を暗号化済文字列に分割してそれぞれについて復号を試み、全部について復号が成功したらこれらを連結してパスワードとする。

最も単純には、暗号化済文字列が特定の区切文字(たとえば空白。)を含まないように暗号化を行い、認証用文字列分割を区切文字で分割してから分割結果のそれぞれを復号する、という態様がある。

時刻同期する暗号化技術として最も単純なものは以下の通りである。

まず、リマインダ端末121とリソースサーバ161が、乱数のシードを時刻同期して共有する。このシードは、たとえば数分おき等、一定時間おきに、所定のシード乱数更新アルゴリズムに基づいて更新される。もっとも、両者の時刻には一定の誤差があること、ユーザの入力には時間がかかることから、リマインダ端末121では、表が提示された時点における最新および直近のシードvを取得する。リソースサーバ161では、ログインの要求が到着した時点における最新および直近のシードu[1], u[2], …, u[N]を取得する。Nの大きさは、共有されるシードの更新間隔、ユーザによる入力時間の分布、各種機器の時間誤差などを勘案して、実験により定めても良い。時刻同期している、ということは、1以上N以下の整数qのうち、v = u[q]を満たすものが1つ存在する、ということである。

リマインダ端末121とリソースサーバ161は、乱数列生成アルゴリズムも共有する。乱数列生成アルゴリズムは、上記のシード乱数更新アルゴリズムと同じでも良いし異なっても良い。シードpが与えられると、シード乱数更新アルゴリズムにより、乱数列g(p,1), g(p,2), …が計算できる。

さて、ユーザが表301の要素あるいは付加要素を選択し、選択された要素に格納された文字列を連結することにより、文字s[1], s[2], …からなる文字列が得られたものとする。

  リマインダ端末121は、連結済文字列のk番目の文字s[k]に対して、文字
    e(g(v,k),s[k])
を計算する。ここで、演算e(x,y)は、後述する演算c(x,z)に対して、以下のような関係を満たす。
    y = c(x,e(x,y))

たとえば、e(x,y)とc(x,z)のいずれも、引数のビット排他的論理和とすれば、上記が成立する。このほか、e(x,y) = y+x, c(x,z) = z-x などのように、和と差を利用することもできる。また、リソースサーバ161がパスワードとして受付可能な文字集合の中で、文字コードを巡回させる暗号化を行っても良い。たとえば、アルファベット26文字のみがパスワード用文字として許されるリソースサーバ161では、ROT13に準じた暗号化を用いて、e(x,y) = ROT_x(y), c(x,z) = ROT_-x(z)とすれば良い。

  さて、ユーザの選択により得られた連結済文字列Sが、M個の文字からなる文字列
    S = 〔s[1], s[2], …, s[M]〕
であったとする。すると、暗号化済文字列Eは、以下のように表現できる。
    E = 〔E[1], E[2], …, E[M]〕=〔e(g(v,1),s[1]), e(g(v,2),s[2]), …, e(g(v,M),s[M])〕

  アクセス端末141を介してリソースサーバ161が認証用文字列Eを受け取ると、リソースサーバでは、認証用文字列Eに対して、N+1個の文字列r[1], r[2], …, r[N]を計算する。
    r[1] = 〔c(g(u[1],1),E[1]), c(g(u[1],2),E[2]), …, c(g(u[1],M),E[M])〕;
    r[2] = 〔c(g(u[2],1),E[1]), c(g(u[2],2),E[2]), …, c(g(u[2],M),E[M])〕;
     …;
    r[N] = 〔c(g(u[N],1),E[1]), c(g(u[N],2),E[2]), …, c(g(u[N],M),E[M])〕;

そして、N個の文字列r[1], r[2], …, r[N]および認証用文字列Eのそれぞれを、パスワードの候補として採用してパスワード認証を行う。いずれかの文字列r[q]にてパスワード認証が成功したら、ユーザ名とパスワードに基づく本認証が成功したものとする。N個の文字列r[1], r[2], …, r[N]および認証用文字列Eのいずれについてもパスワード認証が失敗したら、本認証も失敗したものとする。

なお、認証用文字列Eでパスワード認証が成功する場合とは、ユーザが手入力で直接認証用文字列Eをパスワード欄513に入力した場合であると考えられる。本態様を含め、一般に、ユーザが手入力でパスワードを入力したと判定された場合には、リソースサーバ161は、たとえばメールやショートメッセージを当該ユーザに対してあらかじめ登録された携帯電話に送付し、確認を促す等、適宜2段階認証を行うこととして、セキュリティを高めることとしても良い。

この暗号化手法では、文字s[1], s[2], …が1文字ずつ得られる度に、暗号化を行い、最後まで暗号化が終わったら(付加要素を選択することにより最後が決まることとしても良いし、「送る」ボタン等を選択することにより最後が決まることとしても良い。)、kの値を1に設定し直して、暗号化方式の初期化をすることになる。

このほか、暗号化方式については、シャッフルにより文字列の順序を入れ換えたり、チェックサムなどの情報を付加して暗号化しているか否かを判定できるようにするなど、種々の態様を採用することができる。

この態様では、生のパスワードの通信をできるだけ避けることでセキュリティを高めることができ、たとえば管理サーバ181を省略した認証システム101の構成にも好適である。

(報告を省略)
上記態様では、リマインダ端末121にて、これからアクセスしようとするリソースサーバ161のサーバ名ならびにアクセスに使用するユーザ名の組み合わせに対応付けられた表301が、ユーザに提示されたことを、リマインダ端末121が外部の機器に報告することにより、リマインダ端末121をセキュリティトークンや特殊キーボードとして機能させることができた。

しかしながら、リマインダ端末121から送信部203を省略し、外部の機器への報告を一切しないような態様を採用することもできる。リソースサーバ161ごとに、送信部203による報告の送信を行うか否かを設定しても良い。

報告の送信をしない態様では、リマインダ端末121を、ユーザが記憶できないようなランダムなパスワードを管理するための機器としてのみ利用することになる。

この際であっても、リマインダ端末121が表示する表301は、リソースサーバ161にログインするためのパスワードそのものを表してはいないので、表301が第三者に見られたとしても、直ちにパスワードが漏洩することはない。

したがって、この態様では、ユーザの指示に基づいて、リマインダ端末121から表301を紙に印刷するような機能を付加しても良い。表301が印刷された紙を利用すれば、リマインダ端末121の電源が切れた場合であっても、リソースサーバ161へのログインが可能となる。また、表301が印刷された紙を用いてリソースサーバ161ヘログインした後に、その紙を机の上などに忘れてしまい、第三者に表301が見られたとしても、直ちにパスワードが漏洩することはない。

このように、ユーザの用途に必要とされるセキュリティレベルに応じて、報告の送信の可否や、表301の印刷の可否を決定することで、ユーザの用途に柔軟に対応することができる。

(プログラムとの関係)
上記の各実施例のリマインダ端末121、アクセス端末141、リソースサーバ161、管理サーバ181は、各種のプログラムを各種のコンピュータのハードウェア上で実行することにより、実現することができる。

一般には、コンピュータは、非一時的(non-transitory)情報記録媒体に記録されたプログラムを、一時的(temporary)記憶装置であるRAM(Random Access Memory)に読み出してから、CPU(Central Processing Unit)あるいはプロセッサが読み出されたプログラムに含まれる指令を実行する。ただし、ROMとRAMを一つのメモリ空間にマッピングして実行することが可能なアーキテクチャでは、ROMに格納されたプログラムに含まれる指令を、直接CPUが読み出して実行する。CPUあるいはプロセッサ等は、RAM等と協働して、当該ハードウェアが備えるNIC(Network Interface Card)やディスプレイ、マイク、スピーカなどの機器を制御する。

ここで、各プログラムは、コンパクトディスク、フレキシブルディスク、ハードディスク、光磁気ディスク、ディジタルビデオディスク、磁気テープ、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)、フラッシュメモリ、半導体メモリ等のコンピュータ読み取り可能な非一時的(non-transitory)情報記録媒体に記録することができる。この情報記録媒体は、各ハードウェアとは独立して配布・販売することができる。

さらに、上記のプログラムは、プログラムが実行されるコンピュータとは独立して、コンピュータ通信網等の一時的(transitory)伝送媒体を介して、配布装置等から、各ハードウェアへ配布することもできる。

なお、上記のプログラムを、電子回路の動作レベル記述用のプログラミング言語によって記述することも可能である。この場合には、上記のプログラムから、電子回路の配線図やタイミングチャート等、各種の設計図が生成され、当該設計図に基づいて、上記の画像処理装置を構成する電子回路を作成することができる。たとえば、上記のプログラムから、FPGA(Field Programmable Gate Array)技術によって再プログラム可能なハードウェア上に、上記画像処理装置を、構成することができるほか、ASIC(Application Specific Integrated Circuit)技術によって、特定用途専用の電子回路を構成することも可能である。

この場合、リマインダ端末121、アクセス端末141、リソースサーバ161、管理サーバ181の各部は、これに割り当てられた処理を実行するように構成(configure)される。

  (まとめ)
  以上説明した通り、本認証システムは、リマインダ端末と、リソースサーバと、管理サーバと、アクセス端末と、を備え、
(A)前記リマインダ端末は、
  ランダムに生成された文字列を各要素に格納した表を生成する表生成部、
  前記生成された表をユーザに視認させて、前記ユーザに、
      (1)前記ユーザにあらかじめ割り当てられた選択順序で前記視認された表から要素を抜き出し、前記抜き出された要素に格納された文字列を並べることにより、登録用文字列を得て、
      (2)前記得られた登録用文字列を、前記ユーザが有するユーザ名に対するパスワードとして、前記リソースサーバにおいて更新登録もしくは新規登録する
ように促すパスワード登録部、
  前記リソースサーバが有するリソースサーバ名および前記ユーザ名の組み合わせに対応付けて、前記視認された表が記憶される記憶部、
  前記ユーザからの指示により前記組み合わせが選択されると、前記組み合わせに対応付けて前記記憶された表を前記ユーザに提示して、前記ユーザに、
      (a)前記ユーザにあらかじめ割り当てられた選択順序で前記提示された表から要素を抜き出し、前記抜き出された要素に格納された文字列を並べることにより、認証用文字列を得て、
      (b)前記得られた認証用文字列を、前記ユーザ名により前記リソースサーバの資源を利用する要求に係るパスワードに採用する
ように促す提示部、
  前記組み合わせに対応付けて前記記憶された表が前記ユーザに提示された旨の報告を送信する送信部、
  を備え、
(B)前記管理サーバは、
  前記リマインダ端末から送信された前記報告が前記管理サーバにより受信されると、前記報告に係る組み合わせに対する有効期間であって前記報告が前記管理サーバに受信された時点を含む有効期間を定め、
(C)前記リソースサーバは、
  前記ユーザ名により前記リソースサーバの資源を利用する要求が、前記アクセス端末から前記リソースサーバへ送信され、前記要求に係るパスワードが、前記リソースサーバにて前記ユーザ名に対して登録されたパスワードと一致すると、前記管理サーバへ、前記ユーザ名に係る問合せを送信し、
(D)前記管理サーバは、
  前記問合せが前記管理サーバにより受信されると、許可条件「前記問合せの送信元であるリソースサーバのサーバ名および前記問合せに係るユーザ名の組み合わせに対して定められた有効期間内に、前記問合せが前記管理サーバにより受信された」が成立するか否かを判定し、前記判定された結果が指定された回答を、前記リソースサーバへ送信し、
(E)前記リソースサーバは、
  前記回答が前記リソースサーバにより受信され、前記受信された回答にて前記許可条件が成立する旨が指定されていれば、前記リソースサーバの資源を利用させるための応答を前記アクセス端末へ送信する
  ように構成する。

  また、本認証システムにおいて、
  前記アクセス端末と前記リマインダ端末とが、所定の距離内で確立された有線接続もしくは無線接続により通信可能に接続されていれば、前記報告は、前記有線接続もしくは前記無線接続を介して、前記アクセス端末に送信され、
  前記アクセス端末から前記リソースサーバの資源を利用する要求に係るユーザ名およびパスワードを入力するためのログインフォームが、前記アクセス端末の画面に表示されており、かつ、前記リマインダ端末にて選択された組み合わせに係るサーバ名が、前記リソースサーバのサーバ名であれば、
  前記アクセス端末は、前記選択された組み合わせに係るユーザ名を、前記ログインフォームのユーザ名欄に入力し、
  前記リマインダ端末は、前記提示された表から、前記ユーザに要素を選択させ、
  前記リマインダ端末は、前記選択された要素に格納された文字列を並べることにより、伝達用文字列を得て、
  前記リマインダ端末は、前記得られた伝達用文字列を、前記有線接続もしくは前記無線接続を介して、前記アクセス端末に伝達し、
  前記アクセス端末は、前記リマインダ端末から伝達された伝達用文字列を、前記ログインフォームのパスワード欄に入力する
  ように構成することができる。

  また、本認証システムにおいて、
  前記リマインダ端末は、前記表の各要素に格納された文字列を隠して、前記表を提示し、
  前記リマインダ端末は、前記リソースサーバと時刻同期する暗号化方式により、前記選択された要素に格納された文字列を暗号化して、前記伝達用文字列とし、
  前記リソースサーバは、前記要求に係る認証用文字列を前記暗号化方式により復号した復号済文字列が、前記ユーザ名に対して登録されたパスワードと一致すれば、前記要求に係るパスワードが前記ユーザ名に対して登録されたパスワードと一致するとみなす
  ように構成することができる。

  また、本リマインダ端末は、上記認証システムにおけるリマインダ端末であって、
  前記提示された表から前記要素を前記ユーザが選択するごとに、前記選択された要素に格納された文字列を前記暗号化方式により暗号化してから前記アクセス端末に伝達し、
  前記アクセス端末は、前記リマインダ端末から前記暗号化された文字列が伝達されるごとに、前記ログインフォームのパスワード欄に、前記伝達された前記暗号化された文字列を追加入力する
  ように構成することができる。

  また、本リマインダ端末は、
  前記表とともに、ランダムに生成された文字列であって前記表の各要素に格納された文字列とは字種が異なる付加要素を生成し、
  前記生成された付加要素とともに、前記生成された表を、前記ユーザに視認させならびに提示し、
  前記登録用文字列ならびに前記認証用文字列は、前記抜き出された要素に格納された文字列ならびに前記付加要素を並べることにより得られる
  ように構成することができる。

  本リマインダ端末において、
  前記表が前記組み合わせに対応付けられて記憶されて後、前記組み合わせに係るリソースサーバ名に対応付けられる更新期間を経過すると、
  前記表生成部は、新たな表を生成し、
  前記パスワード登録部は、前記生成された新たな表を前記ユーザに視認させて、前記ユーザに、
      (1)前記ユーザにあらかじめ割り当てられた選択順序で前記視認された新たな表から要素を抜き出し、前記抜き出された要素に格納された文字列を並べることにより、新たな登録用文字列を得て、
      (2)前記得られた新たな登録用文字列を、前記組み合わせに係るユーザ名に対するパスワードとして、前記リソースサーバにおいて更新登録する
ように促し、
  前記組み合わせに対応付けて、前記新たな表を、前記記憶部に記憶させる表登録部
  をさらに備える
  ように構成することができる。

  また、本リマインダ端末は、
  前記ユーザにあらかじめ割り当てられた選択順序と、前記ユーザに新たに割り当てられるべき選択順序と、の入力を、前記ユーザから受け付ける受付部、
  前記入力が受け付けられると、
      (s)前記あらかじめ割り当てられた選択順序により抜き出される要素の内容を、前記新たに割り当てられるべき選択順序により抜き出される要素に移動し、
      (t)前記あらかじめ割り当てられた選択順序により抜き出される要素以外の要素の内容を、前記新たに割り当てられるべき選択順序により抜き出される要素以外の要素にランダムに移動する
変換規則を生成する規則生成部、
  前記記憶部に記憶される表を、前記生成された変換規則により変換することにより、前記記憶部に記憶されるすべての表を更新する全更新部
  をさらに備える
  ように構成することができる。

  また、本リマインダ端末は、
  前記受付部による受付に先立って、前記選択順序の長さと同じ長さのガイド文字列であって重複する文字を含まないガイド文字列を生成し、
  前記受付部は、
      (u)前記ユーザが表から要素を選択することにより、前記ユーザにあらかじめ割り当てられた選択順序の入力を受け付け、前記要素が選択されるごとに、当該要素に前記生成されたガイド文字列内の当該選択の順に対応付けられる文字を表示し、
      (v)前記ユーザが表から要素を選択することにより、前記ユーザに新たに割り当てられるべき選択順序の入力を受け付け、前記要素が選択されるごとに、当該要素に前記生成されたガイド文字列内の当該選択された順に対応付けられる文字を表示し、
  前記全更新部は、前記表内の位置のうち、
      (x)前記ユーザに新たに割り当てられるべき選択順序で選択される順の位置に、前記ガイド文字列内の当該順に対応付けられる文字を割り当て、
      (y)前記ユーザに新たに割り当てられるべき選択順序で選択される順以外の位置に、ランダムに重複なく文字を割り当てる
ことにより、前記表内の各位置にガイド文字を割り当て、
  前記提示部は、前記複数のリソースサーバに対応付けられる表のいずれを前記ユーザに提示する際にも、当該表内の各位置に割り当てられたガイド文字を、当該各位置の要素とともに、前記ユーザに提示する
  ように構成することができる。

  また、本認証システムは、リマインダ端末と、アクセス端末と、リソースサーバと、を備え、
(a)前記アクセス端末は、
  前記リソースサーバの資源を利用しようとするユーザからの要求を、前記リソースサーバに送信し、
(b)前記リソースサーバは、前記送信された要求を受信すると、
  前記アクセス端末に、ログインフォームを送信し、
(c)前記アクセス端末は、前記送信されたログインフォームを受信すると、
  前記受信されたログインフォームを前記ユーザに提示し、
(d)前記リマインダ端末は、
  前記リソースサーバに対応付けられて記憶された表を、前記ユーザに提示し、
  前記表が前記ユーザに提示された旨の報告を、管理サーバもしくは前記リソースサーバへ送信し、
(e)前記アクセス端末は、
  前記提示されたログインフォームに含まれる入力欄において、前記ユーザから、前記ユーザにあらかじめ割り当てられた選択順序で前記提示された表の要素を抜き出して並べることにより得られるパスワードを、受け付け、
  前記受け付けられたパスワードを、前記リソースサーバに送信し、
(f)前記管理サーバもしくは前記リソースサーバは、
  前記報告が受信されると、当該報告が受信された時点を含む有効期間を定め、
(g)前記リソースサーバは、
  前記パスワードが受信された時点が、前記定められた有効期間に含まれれば、前記受信されたパスワードに基づいて、前記ユーザからの前記要求に対する可否を決定する。

  また、本認証システムにおいて、
  前記リマインダ端末は、前記報告を前記管理サーバへ送信し、
  前記リソースサーバは、前記管理サーバへ前記有効期間を問い合わせ、もしくは、前記パスワードが受信された時点が前記定められた有効期間に含まれるか否かを問い合わせる
  ように構成することができる。

  また、本認証システムにおいて、
  前記リマインダ端末は、前記報告を前記管理サーバへ送信し、
  前記アクセス端末は、前記管理サーバへ前記有効期間を問い合わせ、もしくは、現時点が前記定められた有効期間内であるか否かを問い合わせ、
(i)現時点が前記定められた有効期間内であれば、前記ユーザから前記パスワードを受け付けできるように前記入力欄を設定して、
(j)前記有効期間が定められておらず、もしくは、現時点が前記定められた有効期間外であれば、前記ユーザから前記パスワードを受け付けできないように前記入力欄を設定する
  ように構成することができる。

  また、本認証システムにおいて、
  前記アクセス端末は、前記ログインフォームが提示された前記ユーザから、前記リソースサーバに関するリマインダ表示の指示を受け付けると、前記管理サーバに、通知を前記リマインダ端末へ送信させ、
  前記リマインダ端末は、前記通知が受信されたことを契機として、前記リソースサーバに対応付けられて記憶された前記表を、前記ユーザに提示する
  ように構成することができる。

  また、本認証システムにおいて、
  前記ユーザに前記表を提示したリマインダ端末は、前記ユーザからパスワードの入力を受け付け、前記入力されたパスワードを、前記アクセス端末に伝達し、
  前記アクセス端末は、前記伝達されたパスワードを、前記ログインフォームに入力する
  ように構成することができる。

  また、本認証システムにおいて、
  前記リマインダ端末は、
  前記表が、前記リソースサーバに対応付けられて記憶された後、前記リソースサーバに対応付けられる更新期間を経過すると、新たな表をランダムに生成し、
  前記ユーザに、前記リソースサーバに対するパスワードを、前記ユーザにあらかじめ割り当てられた前記選択順序で前記生成された表の要素を抜き出して並べることにより得られる新たなパスワードに更新するよう促し、
  前記リソースサーバに対するパスワードが、前記新たなパスワードに更新されると、前記新たな表を、前記リソースサーバに対応付けて記憶する
  ように構成することができる。

  また、本認証システムにおいて、
  前記提示された表は、欄外に付加要素を含み、
  前記パスワードは、前記ユーザにあらかじめ割り当てられた選択順序で前記提示された表の要素を抜き出し、前記提示された表の欄外に含まれる付加要素とともに並べることにより、得られる
  ように構成することができる。

  また、本認証システムにおいて、
  前記認証システムは、他のリソースサーバを含み、
  前記他のリソースサーバは、前記他のリソースサーバの資源を利用しようとする前記ユーザからの他の要求を、前記アクセス端末から受信すると、前記リソースサーバへの前記要求に対して決定された可否ならびに当該決定の時期に基づいて、前記ユーザからの前記他の要求に対する可否を決定する
  ように構成することができる。

  本リマインダ端末は、
  複数のリソースサーバの各リソースサーバに対応付けられる表が記憶される記憶部、
  前記複数のリソースサーバからいずれかを選択するユーザの指示により、前記選択されたリソースサーバに対応付けられて前記記憶部に記憶された表を、前記ユーザに提示する提示部
  を備え、
  前記各リソースサーバに対応付けられる表の各要素には、ランダムに生成された情報が格納され、
  前記各リソースサーバに対応付けられる表から、前記ユーザにあらかじめ割り当てられた選択順序で要素を抜き出して並べることにより、前記各リソースサーバの資源の利用の可否を決定するためのパスワードが得られる。

  また、本リマインダ端末は、
  前記表が前記ユーザに提示された旨の報告を、管理サーバもしくは前記提示された表に対応付けられる前記各リソースサーバへ送信する送信部
  をさらに備えるように構成することができる。

  また、本リマインダ端末は、
  前記複数のリソースサーバの各リソースサーバに対応付けられる前記表が、前記各リソースサーバに対応付けられて記憶された後、前記各リソースサーバに対応付けられる更新期間を経過すると、新たな表を生成する表生成部、
  前記ユーザによる前記リソースサーバの資源の利用の可否を決定するためのパスワードを、前記ユーザにあらかじめ割り当てられた前記選択順序で前記生成された表の要素を抜き出して並べることにより得られる新たなパスワードに更新するように、前記ユーザに促し、もしくは、前記管理サーバに命ずるパスワード更新部、
  前記ユーザによる前記リソースサーバの資源の利用の可否を決定するためのパスワードが、前記新たなパスワードに更新されると、前記新たな表を、前記リソースサーバに対応付けて記憶する表登録部
  をさらに備えるように構成することができる。

  また、本リマインダ端末は、
  前記ユーザにあらかじめ割り当てられた選択順序と、前記ユーザに新たに割り当てられるべき選択順序と、の入力を、前記ユーザから受け付ける受付部、
  前記入力が受け付けられると、
(s)前記あらかじめ割り当てられた選択順序により抜き出される要素の内容を、前記新たに割り当てられるべき選択順序により抜き出される要素に移動し、
(t)前記あらかじめ割り当てられた選択順序により抜き出される要素以外の要素の内容を、前記新たに割り当てられるべき選択順序により抜き出される要素以外の要素に移動する
変換規則を生成する規則生成部、
  前記複数のリソースサーバの各リソースサーバに対応付けて前記記憶部に記憶される表を、前記生成された変換規則により変換することにより、前記記憶部に記憶されるすべての表を更新する全更新部
  をさらに備えるように構成することができる。

  また、本リマインダ端末は、
  前記記憶される表は、欄外に付加要素を含み、
  前記パスワードは、前記ユーザにあらかじめ割り当てられた選択順序で前記提示された表の要素を抜き出し、前記記憶された表の欄外に含まれる付加要素とともに並べることにより、得られる
  ように構成することができる。

  また、本リマインダ端末は、
  前記受付部による受付に先立って、前記選択順序の長さと同じ長さのガイド文字列であって重複する文字を含まないガイド文字列を生成し、
  前記受付部は、
(u)前記ユーザが表から要素を選択することにより、前記ユーザにあらかじめ割り当てられた選択順序の入力を受け付け、前記要素が選択されるごとに、当該要素に前記生成されたガイド文字列内の当該選択の順に対応付けられる文字を表示し、
(v)前記ユーザが表から要素を選択することにより、前記ユーザに新たに割り当てられるべき選択順序の入力を受け付け、前記要素が選択されるごとに、当該要素に前記生成されたガイド文字列内の当該選択された順に対応付けられる文字を表示し、
  前記全更新部は、前記表内の位置のうち、
(x)前記ユーザに新たに割り当てられるべき選択順序で選択される順の位置に、前記ガイド文字列内の当該順に対応付けられる文字を割り当て、
(y)前記ユーザに新たに割り当てられるべき選択順序で選択される順以外の位置に、ランダムに重複なく文字を割り当てる
ことにより、前記表内の各位置にガイド文字を割り当てる
  ように構成することができる。

  また、本リマインダ端末において、
  前記提示部は、前記複数のリソースサーバに対応付けられる表のいずれを前記ユーザに提示する際にも、当該表内の各位置に割り当てられたガイド文字を、当該各位置の要素とともに、前記ユーザに提示する
  ように構成することができる。

本発明は、本発明の広義の精神と範囲を逸脱することなく、様々な実施の形態及び変形が可能とされるものである。また、上述した実施の形態は、この発明を説明するためのものであり、本発明の範囲を限定するものではない。すなわち、本発明の範囲は、実施の形態ではなく、特許請求の範囲によって示される。そして、特許請求の範囲内及びそれと同等の発明の意義の範囲内で施される様々な変形が、この発明の範囲内とみなされる。
本願においては、世界知的所有権機関に対して平成26年(2014年)9月8日(月)に出願した国際出願PCT/JP2014/073704を基礎とする優先権を主張するものとし、指定国の法令が許す限り、当該基礎出願の内容を本願に取り込むものとする。

  101 認証システム
  121 リマインダ端末
  141 アクセス端末
  161 リソースサーバ
  181 管理サーバ
  191 コンピュータ通信網
  201 記憶部
  202 提示部
  203 送信部
  204 表生成部
  205 パスワード登録部
  206 表登録部
  207 受付部
  208 規則生成部
  209 全更新部
  301 表
  303 サーバID
  304 ユーザ名
  305 付加要素
  311 ナビゲーション
  312 ナビゲーション
  313 ナビゲーション
  321 完了ボタン
  322 キャンセルボタン
  501 ブラウザ
  502 URL欄
  503 コンテンツ欄
  511 ログインフォーム
  512 ユーザ名欄
  513 パスワード欄
  514 ログインボタン
  521 プラグインアイコン
  551 試行表
  552 進むボタン
  561 移行表
  562 更新ボタン

Claims

  リマインダ端末と、リソースサーバと、管理サーバと、アクセス端末と、を備える認証システムであって、
(A)前記リマインダ端末は、
  ランダムに生成された文字列を各要素に格納した表を生成する表生成部、
  前記生成された表をユーザに視認させて、前記ユーザに、
      (1)前記ユーザにあらかじめ割り当てられた選択順序で前記視認された表から要素を抜き出し、前記抜き出された要素に格納された文字列を並べることにより、登録用文字列を得て、
      (2)前記得られた登録用文字列を、前記ユーザが有するユーザ名に対するパスワードとして、前記リソースサーバにおいて更新登録もしくは新規登録する
ように促すパスワード登録部、
  前記リソースサーバが有するリソースサーバ名および前記ユーザ名の組み合わせに対応付けて、前記視認された表が記憶される記憶部、
  前記ユーザからの指示により前記組み合わせが選択されると、前記組み合わせに対応付けて前記記憶された表を前記ユーザに提示して、前記ユーザに、
      (a)前記ユーザにあらかじめ割り当てられた選択順序で前記提示された表から要素を抜き出し、前記抜き出された要素に格納された文字列を並べることにより、認証用文字列を得て、
      (b)前記得られた認証用文字列を、前記ユーザ名により前記リソースサーバの資源を利用する要求に係るパスワードに採用する
ように促す提示部、
  前記組み合わせに対応付けて前記記憶された表が前記ユーザに提示された旨の報告を送信する送信部、
  を備え、
(B)前記管理サーバは、
  前記リマインダ端末から送信された前記報告が前記管理サーバにより受信されると、前記報告に係る組み合わせに対する有効期間であって前記報告が前記管理サーバに受信された時点を含む有効期間を定め、
(C)前記リソースサーバは、
  前記ユーザ名により前記リソースサーバの資源を利用する要求が、前記アクセス端末から前記リソースサーバへ送信され、前記要求に係るパスワードが、前記リソースサーバにて前記ユーザ名に対して登録されたパスワードと一致すると、前記管理サーバへ、前記ユーザ名に係る問合せを送信し、
(D)前記管理サーバは、
  前記問合せが前記管理サーバにより受信されると、許可条件「前記問合せの送信元であるリソースサーバのサーバ名および前記問合せに係るユーザ名の組み合わせに対して定められた有効期間内に、前記問合せが前記管理サーバにより受信された」が成立するか否かを判定し、前記判定された結果が指定された回答を、前記リソースサーバへ送信し、
(E)前記リソースサーバは、
  前記回答が前記リソースサーバにより受信され、前記受信された回答にて前記許可条件が成立する旨が指定されていれば、前記リソースサーバの資源を利用させるための応答を前記アクセス端末へ送信する
  ことを特徴とする認証システム。
  前記アクセス端末と前記リマインダ端末とが、所定の距離内で確立された有線接続もしくは無線接続により通信可能に接続されていれば、前記報告は、前記有線接続もしくは前記無線接続を介して、前記アクセス端末に送信され、
  前記アクセス端末から前記リソースサーバの資源を利用する要求に係るユーザ名およびパスワードを入力するためのログインフォームが、前記アクセス端末の画面に表示されており、かつ、前記リマインダ端末にて選択された組み合わせに係るサーバ名が、前記リソースサーバのサーバ名であれば、
  前記アクセス端末は、前記選択された組み合わせに係るユーザ名を、前記ログインフォームのユーザ名欄に入力し、
  前記リマインダ端末は、前記提示された表から、前記ユーザに要素を選択させ、
  前記リマインダ端末は、前記選択された要素に格納された文字列を並べることにより、伝達用文字列を得て、
  前記リマインダ端末は、前記得られた伝達用文字列を、前記有線接続もしくは前記無線接続を介して、前記アクセス端末に伝達し、
  前記アクセス端末は、前記リマインダ端末から伝達された伝達用文字列を、前記ログインフォームのパスワード欄に入力する
  ことを特徴とする請求項1に記載の認証システム。
  前記リマインダ端末は、前記表の各要素に格納された文字列を隠して、前記表を提示し、
  前記リマインダ端末は、前記リソースサーバと時刻同期する暗号化方式により、前記選択された要素に格納された文字列を暗号化して、前記伝達用文字列とし、
  前記リソースサーバは、前記要求に係る認証用文字列を前記暗号化方式により復号した復号済文字列が、前記ユーザ名に対して登録されたパスワードと一致すれば、前記要求に係るパスワードが前記ユーザ名に対して登録されたパスワードと一致するとみなす
  ことを特徴とする請求項2に記載の認証システム。
  請求項3に記載の認証システムにおけるリマインダ端末であって、
  前記提示された表から前記要素を前記ユーザが選択するごとに、前記選択された要素に格納された文字列を前記暗号化方式により暗号化してから前記アクセス端末に伝達し、
  前記アクセス端末は、前記リマインダ端末から前記暗号化された文字列が伝達されるごとに、前記ログインフォームのパスワード欄に、前記伝達された前記暗号化された文字列を追加入力する
  ことを特徴とするリマインダ端末。
  前記リマインダ端末は、
  前記表とともに、ランダムに生成された文字列であって前記表の各要素に格納された文字列とは字種が異なる付加要素を生成し、
  前記生成された付加要素とともに、前記生成された表を、前記ユーザに視認させならびに提示し、
  前記登録用文字列ならびに前記認証用文字列は、前記抜き出された要素に格納された文字列ならびに前記付加要素を並べることにより得られる
  ことを特徴とする請求項4に記載のリマインダ端末。
  前記表が前記組み合わせに対応付けられて記憶されて後、前記組み合わせに係るリソースサーバ名に対応付けられる更新期間を経過すると、
  前記表生成部は、新たな表を生成し、
  前記パスワード登録部は、前記生成された新たな表を前記ユーザに視認させて、前記ユーザに、
      (1)前記ユーザにあらかじめ割り当てられた選択順序で前記視認された新たな表から要素を抜き出し、前記抜き出された要素に格納された文字列を並べることにより、新たな登録用文字列を得て、
      (2)前記得られた新たな登録用文字列を、前記組み合わせに係るユーザ名に対するパスワードとして、前記リソースサーバにおいて更新登録する
ように促し、
  前記組み合わせに対応付けて、前記新たな表を、前記記憶部に記憶させる表登録部
  をさらに備えることを特徴とする請求項4に記載のリマインダ端末。
  前記ユーザにあらかじめ割り当てられた選択順序と、前記ユーザに新たに割り当てられるべき選択順序と、の入力を、前記ユーザから受け付ける受付部、
  前記入力が受け付けられると、
      (s)前記あらかじめ割り当てられた選択順序により抜き出される要素の内容を、前記新たに割り当てられるべき選択順序により抜き出される要素に移動し、
      (t)前記あらかじめ割り当てられた選択順序により抜き出される要素以外の要素の内容を、前記新たに割り当てられるべき選択順序により抜き出される要素以外の要素にランダムに移動する
変換規則を生成する規則生成部、
  前記記憶部に記憶される表を、前記生成された変換規則により変換することにより、前記記憶部に記憶されるすべての表を更新する全更新部
  をさらに備えることを特徴とする請求項4に記載のリマインダ端末。
  前記リマインダ端末は、
  前記受付部による受付に先立って、前記選択順序の長さと同じ長さのガイド文字列であって重複する文字を含まないガイド文字列を生成し、
  前記受付部は、
      (u)前記ユーザが表から要素を選択することにより、前記ユーザにあらかじめ割り当てられた選択順序の入力を受け付け、前記要素が選択されるごとに、当該要素に前記生成されたガイド文字列内の当該選択の順に対応付けられる文字を表示し、
      (v)前記ユーザが表から要素を選択することにより、前記ユーザに新たに割り当てられるべき選択順序の入力を受け付け、前記要素が選択されるごとに、当該要素に前記生成されたガイド文字列内の当該選択された順に対応付けられる文字を表示し、
  前記全更新部は、前記表内の位置のうち、
      (x)前記ユーザに新たに割り当てられるべき選択順序で選択される順の位置に、前記ガイド文字列内の当該順に対応付けられる文字を割り当て、
      (y)前記ユーザに新たに割り当てられるべき選択順序で選択される順以外の位置に、ランダムに重複なく文字を割り当てる
ことにより、前記表内の各位置にガイド文字を割り当て、
  前記提示部は、前記複数のリソースサーバに対応付けられる表のいずれを前記ユーザに提示する際にも、当該表内の各位置に割り当てられたガイド文字を、当該各位置の要素とともに、前記ユーザに提示する
  ことを特徴とする請求項7に記載のリマインダ端末。
コンピュータを、請求項4に記載のリマインダ端末の各部として機能させることを特徴とするプログラムが記録された非一時的なコンピュータ読取可能な情報記録媒体。
前記リソースサーバと、前記管理サーバと、が、一つのサーバコンピュータにより実現されることを特徴とする請求項1に記載の認証システム。