WO2022107591A1 - パスワード認証システム - Google Patents

パスワード認証システム Download PDF

Info

Publication number
WO2022107591A1
WO2022107591A1 PCT/JP2021/040418 JP2021040418W WO2022107591A1 WO 2022107591 A1 WO2022107591 A1 WO 2022107591A1 JP 2021040418 W JP2021040418 W JP 2021040418W WO 2022107591 A1 WO2022107591 A1 WO 2022107591A1
Authority
WO
WIPO (PCT)
Prior art keywords
password
authentication
user
terminal device
unique code
Prior art date
Application number
PCT/JP2021/040418
Other languages
English (en)
French (fr)
Inventor
啓介 木戸
Original Assignee
啓介 木戸
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 啓介 木戸 filed Critical 啓介 木戸
Priority to US18/020,543 priority Critical patent/US20230300125A1/en
Publication of WO2022107591A1 publication Critical patent/WO2022107591A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Definitions

  • the present invention relates to a password authentication system capable of maintaining a high level of security using a password having a small number of bits. Furthermore, the present invention relates to a password authentication system in which effective measures are taken against password reuse and phishing fraud.
  • Password authentication which confirms the identity using user identification information (user ID) and password, has the advantage of low implementation cost because it can be realized by software, and has versatility that can be used anywhere.
  • the risk of password eavesdropping on the communication path is greatly reduced due to the spread of SSL encrypted communication. For these reasons, password authentication is widespread.
  • password authentication has the disadvantage that the password can be easily guessed by a hacker, and if the password is stolen, it will be used illegally and cause great damage.
  • increasing the number of digits in the password reduces the risk of the password being guessed.
  • the number of digits of the password is increased, it becomes difficult to keep remembering the set password accurately, and there is a risk of forgetting the password.
  • a simple password with a small number of bits is used, the risk of forgetting the password is reduced, but the risk of the password being stolen increases.
  • the above-mentioned method of writing down the password on paper does not have the risk of the password being stolen via the network, but there is a risk of the paper itself being lost or stolen. Further, in the method of saving in the electronic file and the method of saving using the management tool, since the password exists in the terminal device, there is a possibility that the password may be leaked to the outside due to the attack of the mentha. That is, the fact is that the password authentication systems currently in practical use have not sufficiently dealt with the problems caused by the reuse of passwords and the problems of phishing fraud.
  • the password authentication system is a password authentication system including an authentication server that authenticates a person using an authentication password and a terminal device used by a user.
  • the terminal device has an input means for inputting a user password, a unique code storage means for storing a unique code set for each user, a unique code stored in the unique code storage means, and a user password input by the user. It has a calculation means for performing a logical calculation using the user and outputting the calculation result as an authentication password, and a means for transmitting the generated authentication password and user identification information to the authentication server.
  • the authentication server is a password storage means that stores the authentication password included in the password registration request sent from the terminal device together with the user identification information as a registration password as a reference for authentication, and password authentication sent from the terminal device. It has a verification means for verifying the consistency between the authentication password included in the request and the registered password stored in the password storage means and specified by the user identification information included in the password authentication request.
  • the terminal device performs a logical operation using the user password and the unique code stored in the unique code storage means to generate an authentication password, and sends a password registration request including the generated authentication password to the authentication server. Then, the authentication server stores the authentication password included in the received password registration request as a registration password in the password storage means together with the user identification information.
  • the terminal device performs a logical operation using the user password and the unique code stored in the unique code storage means to generate an authentication password, and makes a password authentication request including the generated authentication password.
  • Send to the authentication server The authentication server verifies the consistency between the authentication password included in the received password authentication request and the registered password stored in the password storage means and specified by the user identification information included in the received password authentication request. It is characterized by.
  • the user inputs the user password secretly held in his / her brain into the terminal device.
  • the terminal device performs a logical operation using the input user password and the unique code stored in the terminal device, and outputs the calculation result as an authentication password.
  • the generated authentication password is transmitted to the authentication server of the website via the network together with the user identification information.
  • the authentication server verifies the match between the authentication password sent from the terminal device and the registered password registered in the authentication server.
  • the first effect is that the minority-digit user password entered into the terminal device by the user is converted into a multi-digit authentication password by a logical operation using a unique code, and the person himself / herself uses the multi-digit authentication password. Authentication is done. As a result, the information entropy of the password used in the authentication work is greatly increased, so that a security level equivalent to the case of authenticating using a multi-digit user password having a large information entropy can be obtained, and the security level is greatly increased. .. On the other hand, since the user password held by the user can be a character string or a sequence of a small number of digits, the burden on the user is reduced and the problem that the user forgets the password is solved.
  • the user password is logically operated using a unique code stored in the terminal device to generate an authentication password as a reference for authentication. Therefore, even if the user password is leaked, the authentication password will not be known to a third party unless the unique code is known. Further, even if the unique code stored in the terminal device is known to a third party, the authentication password is not known unless the user password is known. Therefore, the security is significantly improved as compared with the conventional password authentication system.
  • the user can output a different authentication password for each website only by using one and the same user password. That is, in the present invention, since the code string set for each website can be used as the unique code, the logical operation is performed using the unique code different for each website. In this case, even if one and the same user password is used, a different authentication password is output for each website. As a result, even if the user uses the same password for a plurality of websites, a different authentication password is used for each website, so that the problem caused by the reuse of the password is solved. Further, even when accessing a plurality of websites, the user only inputs one and the same user password into the terminal device, so that the burden on the user is greatly reduced.
  • the third effect is that the authentication password used for password authentication is not stored in the terminal device. That is, in the present invention, the user password held by the user can be a simple number sequence or a character string having a small number of digits, so that the user password can be clearly stored in the user's brain. Further, since the authentication password used for the actual verification is output as a result of the logical operation between the user password and the unique code, it only temporarily exists in the terminal device during the authentication work. That is, the user password and the authentication password used for the authentication work are only temporarily present in the terminal device during the authentication process. Therefore, the risk of the authentication password being stolen by a mentha attack is greatly reduced.
  • a fourth effect it is possible to change to a password authentication system with a significantly improved security level compared to the conventional authentication system without making any special changes to the password authentication system currently in practical use. That is, as a setup work, it is only necessary to set a terminal module that converts a minority-digit user password into a multi-digit authentication password in the terminal device and set up a registered password in the database of the authentication server, and there is no need to change the authentication server. be. That is, an account including a user ID and a registration password is registered in the authentication server. Therefore, the authentication server can perform personal authentication only by verifying the matching between the authentication password included in the received authentication request and the registration password registered in the account. In this way, there is no need to make any special changes to the authentication server, and the conventional password authentication system can be used as it is by simply setting the terminal module that converts the user password into a multi-digit authentication password in the terminal device. can.
  • the unique code is set for each user.
  • the address information of the website such as the domain or URL of the website
  • the user information or user ID unique to each user such as the customer information set by the website to the user, or the user's email address
  • Encrypted information encrypted with the private key of the management server or authentication server can be used. For example, since the domain and URL of a website are different for each website, if a logical operation is executed using the user password and the domain or URL of the website, even if one fixed user password is used, each website is used. A different authentication password can be set for each website.
  • Various hash operations and encryption operations can be used as logical operations that use user passwords and unique codes.
  • a user password and a unique code are concatenated, and a hash operation is performed on the concatenated code data.
  • the obtained hash value is used as an authentication password.
  • a 2-digit user password and a 256-digit (2048 bit) unique code are concatenated, a 256 hash operation is performed, and a 256-bit authentication password is output.
  • simply memorizing the two-digit number as the user password and performing the authentication process using the 32-digit (256-bit) authentication password greatly reduces the burden on the user and secures the system. The level will also be considerably higher.
  • Another password authentication system of the present invention is a password authentication system including an authentication server that authenticates a person using an authentication password and a terminal device used by a user.
  • the terminal device uses an input means for inputting a user password, an address acquisition means for acquiring the address information of the website being accessed, an address information acquired by the address acquisition means, and a user password input by the user. It has a calculation means for performing a logical calculation and outputting the calculation result as an authentication password, and a means for transmitting the authentication password together with the user identification information to the authentication server.
  • the authentication server stores a password storage means for storing a registration password as a reference for authentication, an authentication password included in a password authentication request sent from a terminal device, and the password storage means, and is stored in the password authentication request.
  • the terminal device acquires the address information of the website being accessed, and performs the logical calculation using the acquired website address information and the user password.
  • An authentication password is generated, a password registration request including the generated authentication password is sent to the authentication server, and the authentication server stores the authentication password included in the received password registration request as a registration password in the password storage means.
  • password authentication the user accesses the target Web server, the terminal device acquires the address of the website being accessed, and performs a logical calculation using the acquired website address and user password to perform an authentication password. Is generated, and the generated authentication password is sent to the authentication server.
  • the authentication server is characterized by verifying the consistency between the authentication password included in the received password authentication request and the registered password stored in the password storage means and specified by the user identification information included in the received authentication request. And.
  • the address information of the authentication server or the website being accessed is acquired by using the address acquisition means provided in the terminal device. Since the address of the website is different for each site, a unique authentication password is generated for each website even if the same user password is used by performing a logical operation including the address of the website or the authentication server. The password. As a result, even if the same user password is used, the authentication process is performed using a different authentication password for each authentication server or website, so that the need to reuse the password disappears and the problem of reusing the password is solved. do.
  • the password authentication system of the present invention in response to the generation of the authentication password, the address information of the authentication server or the website being accessed is acquired, and the authentication password is generated using the acquired address information. Therefore, a unique registration password that is different for each website is set for each authentication server. For example, when user authentication is performed with the website of the XX bank, the address of the XX bank site, for example, the URL or a part thereof is acquired in the setup for authentication, and the acquired XX is acquired. A logical calculation is performed using the bank address, the user password stored by the user, and the unique code stored in the terminal device, and the calculation result is output. Then, the output calculation result becomes the authentication password, is sent to the authentication server, and is registered as the registration password.
  • the address of the XX bank is acquired by the terminal device prior to the generation of the authentication request. Then, a logical operation is executed using the acquired address, the user password entered by the user, and the stored unique code, the operation result becomes the authentication password, and the authentication request including the authentication password is sent to the authentication server. Will be sent. Since the authentication password is generated using the same operation code as the registration password stored in the authentication server, the authentication password and the registration password match in the authentication process of the authentication server. As a result, the authentication request is confirmed to be normal and login is permitted.
  • the login screen that looks almost the same as the login screen of the XX bank will be displayed on the user's monitor. Therefore, the user thinks that the login screen displayed on the monitor is the official login screen of the XX bank, generates an authentication password, and inputs it to the login screen. The entered authentication password is then sent to the phishing site.
  • the authentication password sent to the phishing site is a bit code different from the official registration password registered at the XX bank. That is, when directed to a phishing site, the address acquisition function of the terminal device is activated prior to the generation of the authentication password, and the address of the website being accessed is acquired. On the other hand, since different addresses are set for each website, the acquired address is different from the correct address of the XX bank. Therefore, the terminal device executes a logical operation using an address different from the address of the XX bank, the user password, and the unique code. Since the operation code of the logical operation is different from the operation result, another operation result different from the correct operation result is output.
  • the authentication password sent to the phishing site is a different bit code than the official registration password. Therefore, even if you are treated as a phishing scam, your authentication password will not be stolen. That is, since this password authentication system acquires the address of the Web server being accessed in response to the generation of the authentication password, it is possible to effectively counter phishing scams.
  • the authentication password is generated by performing a logical operation using the user password, the unique code, and the address of the website.
  • the user password and the address of the website being accessed are used without using the unique code. It can also be used to perform logical operations to generate an authentication password.
  • the terminal device is a terminal device used in a password authentication system including a terminal device used by a user and an authentication server that performs personal authentication using an authentication password sent from the terminal device.
  • the terminal device has an input means for inputting a user password, a unique code storage means for storing a unique code set for each user, a unique code stored in the unique code storage means, and a user password entered by the user. It has a calculation means for performing a logical calculation using the user and outputting the calculation result as an authentication password, and a means for transmitting the generated authentication password and user identification information to the authentication server.
  • the terminal device performs a logical operation using the user password and the unique code stored in the unique code storage means to generate an authentication password, and password authentication including the generated authentication password and user identification information. It is characterized by sending a request to an authentication server.
  • the existing terminal device used in the password authentication system currently put into practical use has a means for inputting a user password and a means for transmitting the user password together with the user ID to the authentication server. Therefore, the present invention is simply provided with a terminal module having a unique code storage means and a logical operation means for performing a logical operation using a user password input by the user and a unique code stored in the unique code storage means in the terminal device. The terminal device is completed. Therefore, by simply installing a simple terminal module on an existing terminal device, a terminal device with significantly improved security strength can be realized.
  • Another terminal device of the present invention is a terminal device used in a password authentication system in which personal authentication is performed using an authentication password.
  • the terminal device has an input means for inputting a user password, an address acquisition means for acquiring the address of the website being accessed, a website address acquired by the address acquisition means, and a user password input by the user. It has a calculation means for performing a logical calculation using the method and outputting the calculation result as an authentication password, and a means for transmitting the authentication password and user identification information output from the calculation means to the authentication server of the website.
  • the terminal device acquires the address information of the website being accessed, performs the above logical calculation using the acquired website address information and the user password, and generates an authentication password, which is generated.
  • the authentication password is transmitted to the authentication server of the website, and an authentication password having an incorrect code string different from the registration password that is the standard of authentication is transmitted to the website of the phishing fraud.
  • a logical operation is performed using a user password entered by the user and a unique code secretly stored in the terminal device, a multi-digit operation result is output, and a multi-digit authentication password is used.
  • Authentication processing is performed. Therefore, the user only needs to store a simple password with a small number of digits in the brain, and the authentication process is performed using a complicated password with a large number of digits. Therefore, the problem that the user forgets the password can be solved, and the security level of password authentication can be remarkably improved.
  • the unique code used for the logical operation can be set for each website and can be different for each website. Therefore, it is possible to output a different authentication password for each website by using one user password. As a result, since the authentication process is performed using one user password and a different authentication password for each website, the problem caused by reuse is solved.
  • a bit code unique to the website or a bit code specific to the user can be used.
  • the bit code unique to the website the address information or domain of the website or the authentication server installed on the website can be used.
  • As a bit code peculiar to the user there is user information given to the user from the website or the authentication server. For example, user information such as a bank's "customer number" is allocated to each bank's site, and different user information is set for each site for the same person. Therefore, by incorporating the user information into the operation code and performing a logical operation, it is possible to output a different authentication password for each website even if the same user password is used.
  • the terminal device has an address acquisition means for acquiring the address of the website being accessed, and acquires and acquires the address of the website being accessed prior to the generation of the authentication password.
  • the calculated address is incorporated into the calculation code, the calculation process is performed, and the calculation result is output as the authentication password. Since the domain and address of each site are different for each site, it is possible to output a different authentication password for each site even if the same user password is used. This solves the problem of reuse.
  • the logical operation is performed by including the address of the phishing site in the calculation code, so a number of columns that do not match the authentication password of any website. Or a string is entered on the phishing screen, which solves the problem of password theft by phishing scams.
  • the problem of password reuse and the problem of phishing fraud can be solved at once by using a simple password with a small number of digits that is easy to remember in the user's brain, and the security level. It is possible to realize a significantly improved password authentication system. Further, the present invention can be carried out only by providing a terminal module for converting a user password into a multi-digit authentication password in the terminal device of the password authentication system currently in operation.
  • FIG. 1 is a diagram showing the overall configuration of the password authentication system according to the present invention.
  • a plurality of terminal devices 2-1 to 2-n used by the user are connected to the network 1. Further, the network 1 is connected to the website 3 of the bank A, the website 4 of the bank B, and the website 5 of the securities C.
  • Each of these websites has authentication servers 3a to 5a for personal authentication, and authentication requests from terminal devices are processed by the authentication servers 3a to 5a.
  • a different authentication password is generated for each website on the terminal device using one user password, and each website is used. Authenticate the person using the set authentication password. That is, the user simply specifies the target website and inputs one user password into the terminal device, and an authentication password is generated for each website, and a unique authentication password is used for each website. User authentication is performed.
  • the authentication management server 6 is connected to the network 1, and it is possible to apply it to a plurality of ID / PW authentication servers with single sign-on through this authentication management server.
  • the basic configuration of the password authentication system according to the present invention will be described.
  • the basic idea of the present invention is to perform a logical operation using a minority-digit user password secretly stored in the user's brain and a multi-digit arithmetic code stored in a terminal device and set for each website. And output a large number of bits of code data.
  • the output code data is used as a password used for actual authentication work, that is, as an authentication password.
  • the authentication password output from the calculation means is sent to the authentication server of the website via the network and stored as the registration password that is the standard of authentication.
  • This registration password is stored in the database together with the user identification information.
  • the user password is input to the terminal device by the user, a logical operation is executed using the user password input by the user and the unique code of the website specified by the user, and the authentication password is generated. Will be done.
  • the generated authentication password is sent to the authentication server via the network, the match with the registered password stored in the database is verified, and if it matches, it is determined that it is an authentication request of a person with legitimate authority. You can log in.
  • the password authentication system of the present invention can solve both the problems caused by the reuse of passwords and the problems caused by phishing fraud at once. That is, in another password authentication system of the present invention, the terminal device has a means for acquiring the address information of the website being accessed, and acquires the address of the website being accessed in response to the generation of the authentication password. .. Then, the acquired address is incorporated into the calculation code, the calculation process is performed, and the calculation result is output as the authentication password. Since the address and domain of each website are different for each site, a different calculation result is generated for each accessed website by incorporating the address of the website being accessed into the operation code and performing a logical operation. As a result, even if the same user password is used, a different authentication password is generated for each website, and user authentication can be performed using a different authentication password for each site.
  • the password authentication system of the present invention can solve both the problem caused by reuse and the problem against phishing fraud at once.
  • the following logical formula can be used depending on the purpose.
  • (1) [User password + unique code] ⁇ hash operation hash value
  • a user password and a unique code having a larger number of bits than the user password are concatenated, and a hash operation is executed on the concatenated bit string.
  • the obtained hash value is used as the authentication password.
  • a user password with a small number of digits is converted into an authentication password with a large number of digits. Therefore, the possibility that the user forgets the password is reduced, and the level of security can be further increased.
  • FIG. 2 is a diagram showing an example of a specific authentication process of the password authentication system according to the present invention.
  • the setup is performed by setting the terminal module of the present invention in the terminal device of the password authentication system currently in operation. Further, as the operation code of the logical operation, the user password, the unique code, and the address of the website being accessed are used.
  • the user accesses the authentication server of the target website and creates an account (step 1).
  • the account includes a user ID, a user's email address and a password for identity verification.
  • the authentication server checks for duplication of basic information and then confirms the identity (step 2). Upon identity verification, the authentication server sends an authentication link to the email address registered in the account. The user clicks the authentication link and enters the user ID and password for identity verification. The authentication server verifies the match between the password entered and the password contained in the account.
  • the authentication server sends the installation file of the terminal module (step 3).
  • the terminal module includes a series of functions of the terminal device in password authentication, and authentication processing is performed between the authentication server and the terminal device via various functions of the terminal module. If the terminal module is already set in the terminal device, the installation file of the terminal module is not sent.
  • step 4 the user sets the unique code used for the logical operation.
  • a 24-digit random number generated by the authentication server is used as the unique code.
  • the user sends a request for generating a unique code from the terminal device to the authentication server.
  • the authentication server operates a random number generator to generate a 24-digit random number and sends it to the terminal device in response to the reception of the unique code generation request.
  • the terminal device stores the received 24-digit random number as a unique code.
  • the user decides the user password and secretly stores it in his or her brain. It is desirable that the user password is a password that is hard to forget.
  • the authentication password used for the authentication process is generated.
  • the logical operation formula is based on the following logical formula.
  • x hash calculation hash value
  • the terminal device concatenates the user password, unique code, and domain of the site being accessed, performs hash calculation, and outputs it.
  • the hash value is used as the authentication password.
  • Various arithmetic expressions can be used as the logical operation formulas, for example, SHA1 hash operation and SHA256 hash operation can be used. Further, an encryption calculation formula such as DES56 can also be used.
  • the terminal device sends the output authentication password together with the user identification information to the accessing authentication server as a password registration request.
  • the authentication server stores the authentication password included in the received password registration request as a registration password in the database together with the user identification information, and the setup is completed.
  • This registration request also includes the information required to register the authentication password as the registration password.
  • the received authentication password can be used as it is, or even if the received authentication password is hashed to generate a hash value and the hash value is stored in the database together with the user identification information as the registered password. good.
  • the hash value generated from the received authentication password is used as the collation target. By doing so, the authentication password is not stored in the terminal device or the authentication server, and even if the mentha succeeds in intrusion, the authentication password cannot be retrieved.
  • step 5 the authentication process (step 5) at the time of password authentication request will be described.
  • the user accesses the authentication server of the website to be authenticated.
  • the user inputs the user password via the input means.
  • the address acquisition means is activated to acquire the address of the website being accessed.
  • a logical operation is performed using the user password, the acquired address, and the unique code to generate an authentication password.
  • an authentication request including the generated authentication password and user identification information is generated, and the authentication request is sent to the authentication server.
  • the authentication server extracts the authentication password from the received password authentication request, performs hash calculation processing, and outputs the hash value. Subsequently, the corresponding registered password is searched for using the user identification information included in the authentication request, and the matching between the searched registered password (hash value) and the hash value of the authentication password is verified. If they match, certify that it is a valid authentication request and allow login.
  • FIG. 3 shows an example of the functional configuration of the terminal module installed in the terminal device. It should be noted that only the part related to user authentication among the functions of the terminal device is shown. In this example, a logical operation is performed using a user password and a unique code to generate an authentication password.
  • the terminal device has the communication means 10 and accesses the authentication server of the website through the communication means.
  • the communication means has a basic browser function including an SSL encrypted communication function.
  • the terminal device has an input device 11 such as a keyboard, and the user inputs a user password via the input device 11.
  • the entered user password is supplied to the calculation function 12.
  • the user specifies a website that requires password authentication via an input device.
  • the site designation information is supplied to the unique code storage function 13.
  • the unique code storage function 13 stores the site name and the unique code in a paired relationship for each website.
  • the unique code of the website specified by the user is supplied to the arithmetic function 12.
  • the terminal module has a site information management function 14.
  • the site information management function 14 manages information about the website. For example, the website for which authentication is requested is accessed, the unique code is acquired, and the unique code is stored in the unique code storage function 13.
  • the calculation function 12 performs a hash calculation on the input user password and unique code, and outputs the calculation result as an authentication password.
  • the output authentication password is input to the authentication / registration / change request transmission function 15.
  • the user sends an instruction indicating whether the authentication password corresponds to the authentication request, the registration request, or the change request to the authentication / registration / change request transmission function 15 via the input device.
  • the destination of the authentication password is supplied from the site information management function 14.
  • the authentication / registration / change request transmission function 15 is instructed that the entered authentication password is related to the password authentication request, and the site information management function 14 of the website to be transmitted is instructed.
  • the address is specified.
  • the authentication / registration / change request transmission function 15 creates a password authentication request including an authentication password and user identification information, and transmits the password authentication request to the designated website via the communication means 10.
  • the user When the user wishes to change the user password, the user inputs the changed user password into the input device. Further, the website name related to the password change is supplied to the unique code storage function 13 and the site information management function 14. The calculation function 12 performs a logical operation using the changed user password and the unique code of the website related to the change, and outputs the changed authentication password to the authentication / registration / change request transmission function 15. The authentication / registration / change request transmission function generates a password change request including the changed authentication password and user identification information and sends it to the authentication server.
  • FIG. 4 shows an example of the functional configuration of the authentication server. Only the configuration related to user authentication is shown.
  • the authentication server has a communication means 20.
  • the communication means 20 has an SSL server certificate issuing function and an SSL encrypted communication function.
  • the authentication server has an account management unit 21, and the account management unit 21 has an account registration unit 21a, a password management unit 21b, and a user information management unit 21c.
  • the account registration unit 21a assigns user information to each terminal device and initially sets a password.
  • the password management unit 21b stores the password sent from the terminal device when the password is changed or the like.
  • the user information management unit 21c stores information about the user including the user's e-mail address, telephone number, and configuration information of the unique code.
  • the authentication server has a random number generator 22, generates a random number having a predetermined number of digits in response to receiving a unique code request from the terminal device, and transmits the random number to the terminal device.
  • the authentication server has the determination means 23, and determines whether the request signal sent from the terminal device is a password registration request, a password authentication request, or a password change request.
  • the discrimination means 23 supplies the discrimination information indicating the authentication request and the like, the authentication password, and the user identification information to the hash calculation means 24.
  • the hash calculation means 24 performs a hash calculation on the input authentication password to calculate a hash value.
  • the hash value calculated by the hash calculation means is supplied to the writing means 25 together with the user identification information, and is written to the database 26 as the registration password by the writing means.
  • the hash value calculated by the hash calculation means is supplied to the verification means 27. Further, the database 26 is searched using the user identification information, and the hash value (registered password) specified by the user identification information included in the authentication request is searched and supplied to the verification means. The verification means verifies the match between the two hash values. If they match, the password authentication request is determined to be normal. If they do not match, it is treated as an error.
  • the hash value and the user identification information calculated by the hash calculation means are supplied to the password change means 28.
  • the password changing means searches the database using the user identification information included in the change request, and uses the hash value (registered password) specified by the user identification information included in the change request as the hash value (new authentication) related to the change request. Rewrite with password). In this way, changing the password is completed by simply rewriting the registered password stored in the database with a new authentication password.
  • the above-mentioned authentication server is almost the same as the authentication server to which the password authentication system currently in operation is applied. Therefore, the present invention can be applied to the password authentication system currently in operation. In this case, all you have to do is change the registration password stored in the database and set it again. That is, the terminal module of the present invention is set in the terminal device and the setup work is performed. After the setup work is completed, the user determines the user password, inputs the user password via the input means, performs a logical operation, and generates an authentication password. Generates a password change request containing the generated authentication password and user identification information and sends it to the authentication server. The authentication password and user identification information are input to the hash calculation means.
  • the hash value and the user identification information calculated by the hash calculation means are supplied to the password changing means 28.
  • the password changing means searches the database using the user identification information included in the change request, and rewrites the hash value specified by the user identification information included in the change request with the hash value related to the change request. As a result, the setup work is completed and the password authentication work can be performed.
  • FIG. 5 is a diagram showing a modified example of the terminal module.
  • the address of the website being accessed is acquired, and a logical operation is performed using the user password, the unique code, and the address of the website being accessed.
  • the same members as those used in FIG. 3 will be described with the same reference numerals.
  • the user accesses the target website. Subsequently, the user inputs the user password into the input device 11. The user password is sent to the calculation function 12. In response to the input of the user password, the unique code of the website designated by the unique code management function unit 13 is sent to the calculation function unit.
  • the address acquisition function 16 is activated to acquire the address of the website being accessed. The acquired address is supplied to the arithmetic function 12.
  • the operation function 12 executes a logical operation using the user password, the unique code, and the address of the website being accessed, and sends the output as an authentication password to the authentication / registration / change request transmission function 15.
  • the authentication / registration / change request transmission function creates a password authentication request including the entered authentication password and user identification information and sends it to the authentication server.
  • the present invention is not limited to the above-described embodiment, and various modifications and changes are possible.
  • the user password is changed, a logical operation is performed using the changed user password and the unique code, and the calculation result is transmitted to the authentication server together with the user identification information.
  • the registration password specified by the user identification information of the database is rewritten with a new authentication password. This completes the setup work. After that, the authentication process is performed using the new user password.
  • the present invention can be used in a password authentication system in which personal authentication is performed using a user password.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

桁数の少ないパスワードを用いて高度なセキュリティレベルを維持できるパスワード認証システムを提供する。本発明では、利用者の頭脳に記憶されたユーザパスワードと端末装置に秘匿的に保存されWebサイト毎に設定された固有コードを用いて論理演算を行なって多数桁の演算結果を出力する。その演算結果を認証パスワードとして用いて認証処理が行なわれる。従って、利用者が少数桁のパスワードを頭脳に記憶するだけで、多数桁の複雑なパスワードを用いて認証処理が行なわれる。さらに、1つのユーザパスワードを用いてWebサイトごとに異なる認証パスワードが出力される。この結果、利用者がパスワードを失念する課題が解決すると共にパスワード認証のセキュリティレベルを格段に向上させることができる。さらに、アクセス中のWebサイトのアドレスを取得し、アクセス中のWebサイトのアドレス情報を含めて論理演算を行うことにより、使い回しの問題及びフィッシング詐欺の課題を解決できる。

Description

パスワード認証システム
 本発明は、ビット数が少ないパスワードを用いて高度なセキュリティレベルを維持できるパスワード認証システムに関するものである。
 さらに、本発明は、パスワードの使い回し及びフィッシング詐欺に対して有効な対策が施されたパスワード認証システムに関するものである。
 ユーザ識別情報(ユーザID)とパスワードを用いて本人確認を行うパスワード認証は、ソフトウェアで実現できるため実装コストが安い利点があり、また、どこでも使用できる汎用性を有している。また、SSL暗号通信の普及により通信経路においてパスワードが盗聴されるリスクが大幅に低下している。これらの理由から、パスワード認証は広く普及している。
 一方、パスワード認証はハッカによりパスワードが推測されやすい欠点があり、パスワードが盗まれた場合不正使用され、多大な被害が発生する。これに対処するため、パスワードの桁数を多くすれば、パスワードが推測されるリスクが低下する。しかしながら、パスワードの桁数を多くしたのでは、設定されたパスワードを正確に記憶し続けることが困難になり、パスワードを失念するリスクがある。一方、少数ビット数の簡単なパスワードを用いた場合、パスワードを忘れるリスクは低下するものの、パスワードが盗まれる危険性が増大する。
 インターネットの普及により多数のアカウントを有するユーザも多数存在する。このようなユーザにとって、サイト毎に異なるパスワードを設定し記憶することは事実上困難であり、複数のサイトについて同一のパスワードを使い回すことが行われている。しかしながら、Webサイトによってはセキュリティが脆弱なサイトも存在する。この場合、セキュリティが脆弱なサイトがハッカによる攻撃を受け、パスワードが流出した場合、同一のパスワードを用いる他のサイトにおける安全性が損なわれてしまう。特に、金融機関のようなセキュリティが強固なサイトであっても、使い回しによって別のサイトからパスワードが流出した場合、たとえ高度なセキュリティを有していても、不正使用される危険性がある。従って、使い回しに起因する問題を解消することも重要な課題である。
 さらに、フィッシング詐欺によりパスワードが盗まれる被害も多発している。従って、利用者をフィッシング詐欺から有効に防護することも緊急の課題である。パスワードの使い回し及びフィッシング詐欺対策として、パスワードを紙にメモする方法、パスワードを電子ファィルにより端末装置に保存する方法、パスワードを管理ツールを用いて保存する方法が提案されている(例えば、非特許文献1参照)。
「パスワードリスト攻撃とは、被害の原因と対策方法」2019年5月14日最終更新
 上述したパスワードを紙にメモする方法では、パスワードがネットワークを経由して窃盗される危険はないものの、紙そのものを紛失したり盗難の危険性がある。また、電子フアイルに保存する方法及び管理ツールを用いて保存する方法では、端末装置内にパスワードが存在するため、ハッカのアタックによりパスワードが外部に流出するおそれがある。すなわち、現在実用化されているパスワード認証システムでは、パスワードの使い回しに起因する問題及びフィッシング詐欺の問題に対して十分に対応できていないのが実情である。
 さらに、インターネットを利用したサービス業界では、パスワード認証システムが現実に広く普及しているため、多数のサイトで現実に稼働しているパスワード認証システムについて、大幅な変更を要することなくセキュリティレベルを向上させることが急務の課題である。従って、現在稼働中のパスワード認証システムについて簡単な改善策を講ずるだけでパスワードの使い回し及びフィッシング詐欺に有効に対応できるパスワード認証の開発も強く要請されている。
 本発明の目的は、現行のパスワード認証システムに大幅な変更を加えることなく、桁数の少ない簡単なパスワードを用いて高度なセキュリティレベルを維持できるパスワード認証システムを提供することにある。
 本発明の別の目的は、パスワードの使い回しの問題を解決できるパスワード認証システムを提供することにある。
 さらに、本発明の別の目的は、高度なセキュリティレベルが維持できると共にパスワードの使い回し起因する問題及びフィッシング対策として有効なパスワード認証システムを実現することにある。
 本発明によるパスワード認証システムは、認証パスワードを用いて本人認証を行う認証サーバと、ユーザが利用する端末装置とを具えるパスワード認証システムにおいて、
 前記端末装置は、ユーザパスワードを入力する入力手段と、ユーザ毎に設定された固有コードを記憶した固有コード記憶手段と、固有コード記憶手段に記憶した固有コードとユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、生成された認証パスワードとユーザ識別情報を前記認証サーバに送信する手段とを有し、
 前記認証サーバは、端末装置から送られてくるパスワード登録要求に含まれる認証パスワードを認証の基準となる登録パスワードとしてユーザ識別情報と共に記憶するパスワード記憶手段、及び、端末装置から送られてくるパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、パスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証する検証手段とを有し、
 セットアップに際し、端末装置は、ユーザパスワードと前記固有コード記憶手段に記憶した固有コードとを用いて論理演算を行なって認証パスワードを生成し、生成された認証パスワードを含むパスワード登録要求を認証サーバに送信し、当該認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとしてユーザ識別情報と共に前記パスワード記憶手段に記憶し、
 パスワード認証に際し、前記端末装置は、ユーザパスワードと前記固有コード記憶手段に記憶されている固有コードを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード認証要求を前記認証サーバに送信し、
 前記認証サーバは、受信したパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信したパスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証することを特徴とする。
 本人認証に当たって、ユーザは、自身の頭脳に秘匿的に保持されているユーザパスワードを端末装置に入力する。端末装置は、入力されたユーザパスワードと端末装置に保存されている固有コードとを用いて論理演算し、その演算結果を認証パスワードとして出力する。生成された認証パスワードは、ユーザ識別情報と共にネットワークを介してWebサイトの認証サーバに送信する。認証サーバは、端末装置から送信された認証パスワードと認証サーバに登録されている登録パスワードとの一致性を検証する。この構成によって、以下の4つの作用効果が達成される。
 第1の効果として、ユーザによって端末装置に入力された少数桁のユーザパスワードは、固有コードを用いて論理演算されることにより多数桁の認証パスワードに変換され、多数桁の認証パスワードを用いて本人認証が行なわれる。この結果、認証作業で用いられるパスワードの情報エントロピーが大幅に増大するので、情報エントロピーの大きい多数桁のユーザパスワードを用いて認証する場合と等価なセキュリティレベルが得られ、セキュリティレベルが大幅に上昇する。他方において、ユーザが保持するユーザパスワードは少数桁の文字列ないし数列にすることができるので、利用者の負担が軽減され、利用者がパスワードを失念する課題も解消される。
 さらに、ユーザパスワードは、端末装置に保存されている固有コードを用いて論理演算されて認証の基準となる認証パスワードが生成される。従って、たとえ、ユーザパスワードが漏洩しても、固有コードが知られない限り認証パスワードが第三者に知られることはない。また、端末装置に保存されている固有コードが第三者に知られても、ユーザパスワードが知られないかぎり、認証パスワードが知られることはない。従って、従来のパスワード認証システムよりも安全性が格段に向上する。
 第2の作用効果として、使い回しに起因する問題が解決される。本発明では、ユーザは1つの同一のユーザパスワードを使用するだけで、Webサイト毎に異なる認証パスワードを出力することができる。すなわち、本発明では、固有コードとして、各Webサイト毎に設定されたコード列を用いることができるので、Webサイト毎に相違する固有コードを用いて論理演算が行なわれる。この場合、1つの同一のユーザパスワードを用いても、Webサイト毎に異なる認証パスワードが出力される。この結果として、たとえユーザが複数のWebサイトについて同一のパスワードを用いても、Webサイト毎に異なる認証パスワードが用いられるので、パスワードの使い回しに起因する問題が解決される。さらに、複数のWebサイトにアクセスする場合であっても、ユーザは1つの同一のユーザパスワードを端末装置に入力するだけであるため、ユーザの負担が大幅に軽減される。
 第3の効果として、パスワード認証に用いられる認証パスワードが端末装置内に保管されないことである。すなわち、本発明では、ユーザが保持するユーザパスワードは少数桁の簡単な数列や文字列で済むので、ユーザパスワードはユーザの頭脳に明瞭に記憶することができる。さらに、実際の検証に用いられる認証パスワードは、ユーザパスワードと固有コードとの論理演算の結果として出力されるため、認証作業中に一時的に端末装置に存在するだけである。すなわち、認証作業に用いられるユーザパスワード及び認証パスワードは、認証処理中に端末装置に一時的に存在するだけである。従って、ハッカのアタックにより認証パスワードが盗まれる危険性が大幅に減少する。
 さらに、第4の効果として、現在実用化されているパスワード認証システムに格別な変更を加えることなく、従来の認証システムよりもセキュリティレベルが格段に向上したパスワード認証システムに変更することができる。すなわち、セットアップ作業として、少数桁のユーザパスワードを多数桁の認証パスワードに変換する端末モジュールを端末装置に設定し、認証サーバのデータベースに登録パスワードをセットアップするだけであり、認証サーバの変更は不要である。すなわち、認証サーバには、ユーザIDと登録パスワードを含むアカウントが登録されている。従って、認証サーバは、受信した認証要求に含まれる認証パスワードとアカウントに登録された登録パスワードとの一致性を検証するだけで本人認証を行うことができる。このように、認証サーバには格別な変更を加える必要はなく、ユーザパスワードを多数桁の認証パスワードに変換する端末モジュールを端末装置に設定するだけで、従来のパスワード認証システムをそのまま利用することができる。
 本発明の技術的特徴は以下のように要約される。すなわち、現行の認証サーバに格別な変更を加えることなく、ユーザが入力した少数桁のユーザパスワードを多数桁の認証パスワードに変換する端末モジュールを端末装置に設定するだけで、使い回しに起因する問題が解消した高いセキュリティレベルのパスワード認証システムが実現される。
 本発明では、固有コードはユーザ毎に設定する。一方、固有コードとして、WebサイトのドメインやURLのようなWebサイトのアドレス情報、Webサイトがユーザに設定したお客様情報のような各ユーザに固有のユーザ情報やユーザID、又はユーザのメールアドレスを管理サーバや認証サーバの秘密鍵で暗号化した暗号化情報を用いることができる。例えば、WebサイトのドメインやURLは各Webサイト毎に相違するので、ユーザパスワードとWebサイトのドメイン又はURLとを用いて論理演算を実行すれば、1つの固定されたユーザパスワードを用いても各Webサイト毎に異なる認証パスワードを設定することができる。
 ユーザパスワードと固有コードを用いる論理演算として、種々のハッシュ演算や暗号化演算を利用することができる。一例として、ユーザパスワード及び固有コードを連結し、連結されたコードデータについてハッシュ演算を行う。得られたハッシュ値を認証パスワードとして利用する。例えば、2桁のユーザパスワードと、256桁(2048ビット)の固有コードとを連結し、256ハッシュ演算を行なって256ビットの認証パスワードを出力する。この場合、単に2桁の数字をユーザパスワードとして暗記するだけで、32桁(256ビット)の認証パスワードを用いて認証処理が行なわれるため、利用者の負担が大幅に低減されると共にシステムのセキュリティレベルも相当高くなる。
 本発明の別のパスワード認証システムは、認証パスワードを用いて本人認証を行う認証サーバと、ユーザが利用する端末装置とを具えるパスワード認証システムにおいて、
 前記端末装置は、ユーザパスワードを入力する入力手段と、アクセス中のWebサイトのアドレス情報を取得するアドレス取得手段と、アドレス取得手段によって取得されたアドレス情報とユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、前記認証パスワードをユーザ識別情報と共に認証サーバに送信する手段とを有し、
 前記認証サーバは、認証の基準となる登録パスワードを記憶するパスワード記憶手段と、端末装置から送られてくるパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、前記パスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証する検証手段とを有し、
 セットアップに際し、ユーザは目的とするWebサーバにアクセスし、端末装置は、アクセス中のWebサイトのアドレス情報を取得し、取得したWebサイトのアドレス情報とユーザパスワードとを用いて前記論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード登録要求を認証サーバに送信し、当該認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとして前記パスワード記憶手段に記憶し、
 パスワード認証に際し、ユーザは目的とするWebサーバにアクセスし、端末装置は、アクセス中のWebサイトのアドレスを取得し、取得したWebサイトのアドレスとユーザパスワードとを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを前記認証サーバに送信し、
 認証サーバは、受信したパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信した認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証することを特徴とする。 
 本発明では、端末装置に設けたアドレス取得手段を利用して、アクセス中の認証サーバないしWebサイトのアドレス情報を取得する。Webサイトのアドレスはサイトごとに相違するから、Webサイト又は認証サーバのアドレスを含めて論理演算を行うことにより、同一のユーザパスワードを用いても、各Webサイト毎に固有の認証パスワードが生成される。この結果、同一のユーザパスワードを用いても、認証サーバ又はWebサイトごとに異なる認証パスワードを用いて認証処理が行なわれるので、パスワードを使い回す必要性が消滅し、パスワードの使い回しの問題が解消する。
 このパスワード認証システムのフィッシング詐欺に対する防衛効果について説明する。本発明のパスワード認証システムでは、認証パスワードの生成に対応して、アクセス中の認証サーバないしWebサイトのアドレス情報を取得し、取得したアドレス情報を用いて認証パスワードを生成する。よって、各認証サーバに対して、Webサイトごとに異なる固有の登録パスワードが設定される。例えば、○○〇銀行のWebサイトとの間でユーザ認証を行なう場合、認証のためのセットアップにおいて○○〇銀行のサイトのアドレス、例えばURL又はその一部が取得され、取得された○○〇銀行のアドレスと、利用者が記憶したユーザパスワードと、端末装置に保存されている固有コードとを用いて論理演算が行なわれ、演算結果が出力される。そして、出力された演算結果が認証パスワードとなり、認証サーバに送信され、登録パスワードとして登録される。
 その後、正常な認証要求が行なわれると、認証要求の生成に先立って、端末装置によって○○〇銀行のアドレスが取得される。そして、取得されたアドレスと、ユーザによって入力されたユーザパスワードと、保存されている固有コードとを用いて論理演算が実行され、演算結果が認証パスワードとなり、認証パスワードを含む認証要求が認証サーバに送信される。認証パスワードは認証サーバに記憶されている登録パスワードと同一の演算コードを用いて生成されるので、認証サーバの認証処理において認証パスワードと登録パスワードとは一致する。その結果、当該認証要求は正常であると認定され、ログインが許可される。
 これに対して、誤ってフィッシング詐欺のサイトに誘導された場合、ユーザのモニタ上には○○〇銀行のログイン画面と外見上ほぼ同一のログイン画面が表示される。よって、ユーザは、モニタ上に表示されたログイン画面は○○〇銀行の正式なログイン画面と思い込み、認証パスワードを生成しログイン画面に入力してしまう。そして、入力された認証パスワードはフィッシング詐欺のサイトに送信される。
 しかしながら、フィッシング詐欺のサイトに送信された認証パスワードは、○○〇銀行に登録された正式な登録パスワードとは異なるビットコードである。すなわち、フィッシング詐欺のサイトに誘導された場合、認証パスワードの生成に先立って端末装置のアドレス取得機能が作動し、アクセス中のWebサイトのアドレスを取得する。一方、各Webサイトにはサイトごとに異なるアドレスが設定されているから、取得されたアドレスは○○〇銀行の正しいアドレスとは相違する。従って、端末装置は、○○〇銀行のアドレスとは異なるアドレスと、ユーザパスワードと、固有コードとを用いて論理演算を実行する。その演算結果は、論理演算の演算コードが相違するため、正しい演算結果とは異なる別の演算結果が出力される。この結果、フィッシング詐欺のサイトに送信される認証パスワードは、正式な登録パスワードとは異なる別のビットコードである。従って、フィッシング詐欺に遇っても、認証パスワードが盗まれることはない。すなわち、このパスワード認証システムでは、認証パスワードの生成に応じてアクセス中のWebサーバのアドレスを取得するので、フィッシング詐欺に有効に対抗することができる。
 上述した説明では、ユーザパスワードと、固有コードと、Webサイトのアドレスとを用いて論理演算を行なって認証パスワードを生成したが、固有コードを用いず、ユーザパスワードとアクセス中のWebサイトのアドレスを用いて論理演算を行なって認証パスワードを生成することもできる。
 本発明による端末装置は、ユーザが利用する端末装置と、端末装置から送られてくる認証パスワードを用いて本人認証を行う認証サーバとを具えるパスワード認証システムで用いられる端末装置であって、
 当該端末装置は、ユーザパスワードを入力する入力手段と、ユーザ毎に設定された固有コードを記憶した固有コード記憶手段と、固有コード記憶手段に記憶した固有コードとユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、生成された認証パスワードとユーザ識別情報を認証サーバに送信する手段とを有し、 
 パスワード認証に際し、端末装置は、ユーザパスワードと固有コード記憶手段に記憶されている固有コードとを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワード及びユーザ識別情報を含むパスワード認証要求を認証サーバに送信することを特徴とする。
 現在実用化されているパスワード認証システムに用いられる既存の端末装置は、ユーザパスワードを入力する手段及びユーザパスワードをユーザIDと共に認証サーバに送信する手段を有する。よって、固有コード記憶手段及びユーザによって入力されたユーザパスワードと固有コード記憶手段に記憶された固有コードとを用いて論理演算する論理演算手段を有する端末モジュールを端末装置に設置するだけで、本発明による端末装置が完成する。よって、既存の端末装置に簡単な端末モジュールを設置するだけで、セキュリティ強度が格段に向上した端末装置が実現される。
 本発明の別の端末装置は、認証パスワードを用いて本人認証が行なわれるパスワード認証システムに用いられる端末装置であって、
 当該端末装置は、ユーザパスワードを入力する入力手段と、アクセス中のWebサイトのアドレスを取得するアドレス取得手段と、アドレス取得手段により取得されたWebサイトのアドレスとユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、演算手段から出力される認証パスワードとユーザ識別情報を前記Webサイトの認証サーバに送信する手段とを有し、
 パスワード認証に際し、当該端末装置は、アクセス中のWebサイトのアドレス情報を取得し、取得したWebサイトのアドレス情報とユーザパスワードとを用いて前記論理演算を行って認証パスワードを生成し、生成された認証パスワードを前記Webサイトの認証サーバに送信し、フィシング詐欺のWebサイトに対して、認証の基準となる登録パスワードとは異なる誤ったコード列の認証パスワードを送信することを特徴とする。
 本発明では、利用者によって入力されたユーザパスワードと端末装置に秘匿的に保存されている固有コードを用いて論理演算を行なって多数桁の演算結果を出力し、多数桁の認証パスワードを用いて認証処理が行なわれる。従って、利用者が少数桁の簡単なパスワードを頭脳に記憶するだけで、多数桁の複雑なパスワードを用いて認証処理が行なわれる。よって、利用者がパスワードを失念する課題が解決すると共にパスワード認証のセキュリティレベルを格段に向上させることができる。
 さらに、本発明のパスワード認証システムでは、論理演算に用いられる固有コードは、Webサイト毎に設定し、Webサイト毎に相違させることができる。よって、1つのユーザパスワードを用いて各Webサイトごとに異なる認証パスワードを出力することができる。この結果、1つのユーザパスワードを用いて、Webサイト毎に異なる認証パスワードを用いて認証処理が行なわれるので、使い回しに起因する問題が解消する。
 固有コードとして、Webサイトに固有のビットコード或いはユーザに特有のビットコードを用いることができる。Webサイトに固有のビットコードとして、Webサイト又はWebサイトに設置された認証サーバのアドレス情報やドメインを用いことができる。ユーザに特有のビットコードとして、Webサイト又は認証サーバからユーザに付与されるユーザ情報がある。例えば、銀行の「お客様番号」のようなユーザ情報は、各銀行のサイトごとに割り振られ、同一人に対して各サイトごとに異なるユーザ情報が設定される。よって、ユーザ情報を演算コードに取り入れて論理演算することにより、同一のユーザパスワードを用いても各Webサイト毎に異なる認証パスワードを出力することができる。
 さらに、本発明のパスワード認証システムでは、端末装置は、アクセス中のWebサイトのアドレスを取得するアドレス取得手段を有し、認証パスワードの生成に先立ってアクセス中のWebサイトのアドレスを取得し、取得したアドレスを演算コードに取り入れて演算処理を行い、その演算結果を認証パスワードとして出力する。各サイトのドメインやアドレスはサイトごとに相違するから、同一のユーザパスワードを用いても、サイトごとに異なる認証パスワードを出力することができる。これにより、使い回しによる問題が解決する。さらに、フィッシング詐欺のサイトに誘導されてパスワードの入力が要求されても、フィッシング詐欺のサイトのアドレスを演算コードに含めて論理演算が行なわれるので、いずれのWebサイトの認証パスワードにも合致しない数列ないし文字列がフィッシング詐欺の画面に入力されるので、フィッシング詐欺によりパスワードが盗用される問題が解決される。
 総合的な作用効果として、本発明によれば、利用者の頭脳に記憶し易い少数桁の簡単なパスワードを用いて、パスワードの使い回しの問題及びフィッシング詐欺の問題が一挙に解消し、セキュリティレベルが格段に向上したパスワード認証システムを実現することができる。さらに、現在稼働中のパスワード認証システムの端末装置に、ユーザパスワードを多数桁の認証パスワードに変換する端末モジュールを設けるだけで、本発明を実施することができる。
本発明によるパスワード認証システムの全体構成を示す図である。 本発明によるパスワード認証システムの認証プロセスを示す図である。 端末装置に設定される端末モジュールの機能構成を示す図である。 認証サーバの機能構成示す図である。 端末モジュールの機能構成の変形例を示す図である。
 図1は本発明によるパスワード認証システムの全体構成を示す線図である。ネットワーク1には、ユーザが利用する複数の端末装置2-1~2-nが接続される。さらに、ネットワーク1には、A銀行のWebサイト3、B銀行のWebサイト4、及びC証券のWebサイト5接続されている。これらWebサイトは、本人認証を行う認証サーバ3a~5aをそれぞれ有し、端末装置からの認証要求は認証サーバ3a~5aにより処理される。本発明では、Webサイトごとに異なるユーザパスワードを設定して本人認証を行うのではなく、1つのユーザパスワードを用いて端末装置において各Webサイトごとに異なる認証パスワードを生成し、各Webサイトごとに設定された認証パスワードを用いて本人認証を行なう。すなわち、ユーザは、目的とするWebサイトを指定して1つのユーザパスワードを端末装置に入力するだけで、各Webサイトごとに認証パスワードがそれぞれ生成され、Webサイトごとに固有の認証パスワードを用いてユーザ認証が行なわれる。
 尚、ネットワーク1には、認証管理サーバ6が接続され、この認証管理サーバを通じてシングルサインオンでの複数のID/PW認証サーバへ適用することも可能である。
 本発明によるパスワード認証システムの基本構成について説明する。本発明の基本思想は、ユーザの頭脳に秘匿的に記憶されている少数桁のユーザパスワードと、端末装置に保存されWebサイト毎に設定された多数桁の演算コードとを用いて論理演算を行なって、多数ビットのコードデータを出力する。出力されたコードデータを実際の認証作業に用いられるパスワード、すなわち認証パスワードとして用いる。
 セットアップに際し、演算手段から出力される認証パスワードは、ネットワークを介してWebサイトの認証サーバに送信され、認証の基準となる登録パスワードとして記憶する。この登録パスワードは、ユーザ識別情報と共にデータベースに保存する。本人認証の際には、ユーザによってユーザパスワードが端末装置に入力され、ユーザによって入力されたユーザパスワードとユーザによって指定されたWebサイトの固有コードとを用いて論理演算が実行され、認証パスワードが生成される。生成された認証パスワードはネットワークを介して認証サーバに送信され、データベースに記憶されている登録パスワードとの一致性が検証され、一致する場合正当な権限を有する者の認証要求であると判定され、ログインすることができる。この仕組みを利用することにより、少数桁の簡単なユーザパスワードを用いて多数桁の認証パスワードを出力することができ、情報エントロピーの大きな多数桁のパスワードを用いて本人認証する場合と同様な高度なセキュリティレベルが達成される。しかも、ユーザパスワード及び認証パスワード共に端末装置に保存されないので、パスワードがハッカに盗まれる危険性も解消する。
 さらに発展した本発明のパスワード認証システムは、パスワードの使い回しに起因する課題及びフィッシング詐欺による課題の両方を一挙に解決することができる。すなわち、本発明の別のパスワード認証システムでは、端末装置は、アクセス中のWebサイトのアドレス情報を取得する手段を有し、認証パスワードの生成に対応してアクセス中のWebサイトのアドレスを取得する。そして、取得したアドレスを演算コードに取り入れて演算処理を行い、その演算結果を認証パスワードとして出力する。各Webサイトのアドレスやドメインはサイト毎に相違するので、アクセス中のWebサイトのアドレスを演算コードに取り入れて論理演算を行なうことにより、アクセスしたWebサイトごとに異なる演算結果が生成される。この結果、同一のユーザパスワードを用いても各Webサイトごとに異なる認証パスワードが生成され、各サイトごとに異なる認証パスワードを用いてユーザ認証を行うことができる。
 さらに、アクセス中のサイトのドメインを取得するので、フィッシング詐欺のサイトに誘導されてパスワードの入力が要求されても、フィッシング詐欺のサイトのドメインを演算コードに含めて論理演算が行なわれるので、いずれのサイトの認証パスワードにも合致しない数列ないし文字列がフィッシング詐欺のサイトに入力され、正しい認証パスワードがフィッシング詐欺のサイトに入力されることはない。このように、本発明のパスワード認証システムは、使い回しに起因する課題及びフィッシング詐欺に対する課題の両方を一挙に解決することができる。
 論理演算式として、目的に応じて以下の論理式を用いることができる。
(1)[ユーザパスワード+固有コード]×ハッシュ演算=ハッシュ値
 ユーザパスワードとユーザパスワードよりもビット数の多い固有コードを連結し、連結されたビット列についてハッシュ演算を実行する。得られたハッシュ値を認証パスワードとする。本例では、少数桁のユーザパスワードを桁数の大きな認証パスワードに変換する。従って、ユーザがパスワードを失念する可能性が減少すると共にセキュリティのレベルを一層高めることができる。
(2)[ユーザパスワード+固有コード+サイト情報(例えば、Webサイトのドメイン又はURL)]×ハッシュ演算=ハッシュ値
 WebサイトのドメインやURLはWebサイト毎に相違する。従って、各Webサイトに設定される演算コードとしてWebサイトのドメインを用いれば、各Webサーバついて同一のユーザパスワードを用いても各Webサイト毎に演算コードが相違するため、各Webサーバ毎に相違する認証パスワードを形成することができる。これにより、パスワードの使い回しの問題が解決する。尚、固有コードを用いず、ユーザパスワードとサイト情報だけを用いて論理演算して認証パスワードを生成することも可能である。
(3)[ユーザパスワード+固有コード+ユーザ情報(例えば、WebサーバからIDユーザに対して設定される「お客様情報」)]×ハッシュ演算=ハッシュ値
 お客様情報や口座番号のようなWebサイトによってユーザに対して設定される情報はWebサイト毎に相違する。よって、Webサイトによって設定されるユーザ情報を演算コードとして用いることにより、各Webサイト毎に相違する認証パスワードを設定することができる。この場合も、ユーザパスワードとユーザ情報とを用いて論理演算することができる。
(4)[ユーザパスワード+固有コード+アクセス中のWebサイトのアドレス情報]×ハッシュ演算=ハッシュ値
 Webサイト及び認証サーバのアドレスは各サーバごとに相違する。従って、認証パスワードを生成する際、アクセス中の認証サーバのアドレスを取得し、取得したアドレスを用いて論理演算することにより同一のユーザパスワードを用いてWebサイトごとに異なる認証パスワードを設定することができる。さらに、認証パスワードを生成する際、アクセス中のサーバのドメインを取得し、取得したドメインを演算コードに含めて論理演算することにより、フィッシング詐欺のサイトに誘導されても、誤ったコード列が出力されるだけであり、いずれかのサイトに登録されたパスワードに合致したコード列が出力されないため、フィッシング詐欺に対して極めて有効である。
(5)[ユーザパスワード+固有コード+アクセス中のWebサイトのドメイン]×ハッシュ演算=ハッシュ値
(6)[ユーザパスワード+アクセス中のWebサイトのアドレス情報]×ハッシュ演算=ハッシュ値 
 ユーザパスワードとWebサイトのアドレスで十分な桁数の認証パスワードが得られる場合、固有コードを用いなくてもよい。
(7)[ユーザパスワード+アクセス中のWebサイトのドメイン]×ハッシュ演算=ハッシュ値
 図2は本発明によるパスワード認証システムの具体的な認証プロセスの一例を示す図である。本例では、現在稼働しているパスワード認証システムの端末装置に本発明の端末モジュールを設定することによりセットアップを行う。また、論理演算の演算コードとして、ユーザパスワード、固有コード及びアクセス中のWebサイトのアドレスを用いる。
 初めに、ユーザは目的とするWebサイトの認証サーバにアクセスし、アカウントを生成する(ステップ1)。アカウントは、ユーザID、ユーザのメールアドレス及び本人確認用パスワードを含む。
 認証サーバは基本情報について重複チェックを行なった後、本人確認を行う(ステップ2)。本人確認に際し、認証サーバは、アカウントに登録されたメールアドレスに認証リンクを送信する。ユーザは、認証リンクをクリックし、ユーザIDと本人確認用のパスワードを入力する。認証サーバは、入力されたパスワードとアカウントに含まれるパスワードとの一致性を検証する。
 本人確認に成功すると、認証サーバは、端末モジュールのインストールファイルを送信する(ステップ3)。端末モジュールは、パスワード認証における端末装置の一連の機能を含み、端末モジュールの各種機能を介して認証サーバと端末装置との間で認証処理が行なわれる。尚、既に端末装置に端末モジュールが設定されている場合、端末モジュールのインストールファイルは送信しない。
 ダウンロードされた端末モジュールについてセットアップを行う(ステップ4)。初めに、ユーザは、論理演算に用いる固有コードを設定する。本例では、固有コードとして、認証サーバで生成した24桁の乱数を用いる。ユーザは、端末装置から認証サーバに対して固有コードの生成要求を送信する。認証サーバは、固有コードの生成要求の受信に応じて、乱数発生器を作動させて24桁の乱数を生成して端末装置に送信する。端末装置は、受信した24桁の乱数を固有コードとして保存する。
 次に、ユーザは、ユーザパスワードを決定し、自身の頭脳に秘匿的に記憶する。ユーザパスワードは忘れにくいパスワードとすることが望ましい。
 次に、認証処理に用いられる認証パスワードを生成する。本例では、論理演算式は以下の論理式に基づく。
[ユーザパスワード+固有コード+アクセス中のWebサイトのドメイン]×ハッシュ演算=ハッシュ値
 端末装置は、ユーザパスワード、固有コード、及びアクセス中のサイトのドメインを連結してハッシュ演算を行い、出力されるハッシュ値を認証パスワードとする。論理演算式は種々の演算式を用いることができ、例えばSHA1ハッシュ演算やSHA256ハッシュ演算を用いることができる。また、DES56等の暗号化演算式を用いることもできる。
 次に、端末装置は、出力された認証パスワードをユーザ識別情報と共にアクセス中の認証サーバにパスワード登録要求として送信する。認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとしてユーザ識別情報と共にデータベースに記憶し、セットアップは完了する。この登録要求は、認証パスワードを登録パスワードとして登録するために必要な情報も含む。尚、登録パスワードは受信した認証パスワードをそのまま利用することができ、或いは受信した認証パスワードについてハッシュ演算を行なってハッシュ値を生成し、ハッシュ値を登録パスワードとしてユーザ識別情報と共にデータベースに記憶してもよい。本例では、受信した認証パスワードから生成したハッシュ値を照合対象とする。このようにすることにより、認証パスワードは、端末装置にも認証サーバにも保存されないことになり、例えハッカが侵入に成功しても、認証パスワードを取り出すことはできない。
 続いて、パスワード認証要求の際の認証処理(ステップ5)について説明する。認証要求に当たって、ユーザは、認証の対象となるWebサイトの認証サーバにアクセスする。続いて、ユーザは入力手段を介してユーザパスワードを入力する。ユーザパスワードの入力に伴い、アドレス取得手段を作動させてアクセス中のWebサイトのアドレスを取得する。次に、ユーザパスワード、取得したアドレス、及び固有コードを用いて論理演算を行なって認証パスワードを生成する。続いて、生成された認証パスワードとユーザ識別情報を含む認証要求を生成し、認証要求を認証サーバに送信する。
 認証サーバは、受信したパスワード認証要求から認証パスワードを抽出し、ハッシュ演算処理を行なってハッシュ値を出力する。続いて、認証要求に含まれるユーザ識別情報を用いて対応する登録パスワードを検索し、検索された登録パスワード(ハッシュ値)と認証パスワードのハッシュ値との一致性を検証する。一致した場合、有効な認証要求である認定し、ログインを許可する。
 図3は、端末装置にインストールされる端末モジュールの機能構成の一例を示す。尚、端末装置の機能のうちユーザ認証に係る部分だけを示す。本例では、ユーザパスワードと固有コードと用いて論理演算を行い、認証パスワードを生成する。端末装置は通信手段10を有し、通信手段を介してWebサイトの認証サーバにアクセスする。通信手段は、SSL暗号通信機能を含むブラウザー基本機能を有する。端末装置は例えばキーボードのような入力装置11を有し、ユーザは入力装置11を介してユーザパスワードを入力する。入力されたユーザパスワードは演算機能12に供給される。また、ユーザは、入力装置を介してパスワード認証を求めるWebサイトを指定する。サイト指定情報は固有コード記憶機能13に供給される。固有コード記憶機能13は、各Webサイト毎にサイト名と固有コードとを対の関係で記憶する。ユーザによって指定されたWebサイトの固有コードは演算機能12に供給される。
 さらに、端末モジュールは、サイト情報管理機能14を有する。サイト情報管理機能14はWebサイトに関する情報を管理する。例えば、認証を求めるWebサイトにアクセスして固有コードを取得し、固有コード記憶機能13に保存する。
 演算機能12は、入力したユーザパスワード及び固有コードについてハッシュ演算を行い、その演算結果を認証パスワードとして出力する。出力された認証パスワードは認証・登録・変更要求送信機能15に入力する。ユーザは、入力装置を介して認証パスワードが認証要求、登録要求、又は変更要求のいずれに係るものかを示す指示を認証・登録・変更要求送信機能15に送る。また、認証パスワードの送信先はサイト情報管理機能14から供給される。例えば、パスワード認証を行う場合、認証・登録・変更要求送信機能15には、入力した認証パスワードはパスワード認証要求にかかるものである旨が指示され、サイト情報管理機能14から送信すべきWebサイトのアドレスが指定される。そして、認証・登録・変更要求送信機能15は、認証パスワード及びユーザ識別情報を含むパスワード認証要求を作成し、通信手段10を介して指定したWebサイトに送信する。
 ユーザがユーザパスワードの変更を希望する場合、ユーザは変更されたユーザパスワードを入力装置に入力する。また、パスワード変更に係るWebサイト名を固有コード記憶機能13及びサイト情報管理機能14に供給する。演算機能12は、変更後のユーザパスワードと変更に係るWebサイトの固有コードとを用いて論理演算を行い、変更後の認証パスワードを認証・登録・変更要求送信機能15に出力する。認証・登録・変更要求送信機能は、変更後の認証パスワード及びユーザ識別情報を含むパスワード変更要求を生成して認証サーバに送信する。
 図4は認証サーバの機能構成の一例を示す。尚、ユーザ認証に係る構成だけを示す。認証サーバは通信手段20を有する。通信手段20は、SSLサーバ証明書の発行機能及びSSL暗号通信機能を有する。認証サーバは、アカウント管理部21を有し、アカウント管理部21はアカウント登録部21a、パスワード管理部21b及びユーザ情報管理部21cを有する。アカウント登録部21aは、各端末装置に対してユーザ情報を付与すると共にパスワードの初期設定を行う。パスワード管理部21bは、パスワード変更等がされた場合に端末装置から送られたパスワードを保存する。ユーザ情報管理部21cは、ユーザのメールアドレス、電話番号、固有コードの構成情報を含むユーザに関する情報を保存する。
 認証サーバは、乱数発生器22を有し、端末装置からの固有コード要求の受信に応じて所定の桁数の乱数を生成し、端末装置に送信する。
 認証サーバは、判別手段23を有し、端末装置から送られた要求信号がパスワード登録要求、パスワード認証要求、又はパスワード変更要求のいずれかであるかを判別する。判別手段23は、認証要求等を示す判別情報と、認証パスワード及びユーザ識別情報とをハッシュ演算手段24に供給する。ハッシュ演算手段24は、入力した認証パスワードについてハッシュ演算を行なってハッシュ値を算出する。
 パスワード登録要求が入力すると、ハッシュ演算手段によって算出されたハッシュ値は、ユーザ識別情報と共に書込手段25に供給され、書込手段により登録パスワードとしてデータベース26に書き込まれる。
 パスワード認証要求が入力すると、ハッシュ演算手段によって算出されたハッシュ値は検証手段27に供給される。また、ユーザ識別情報を用いてデータベース26が検索され、認証要求に含まれるユーザ識別情報により特定されるハッシュ値(登録パスワード)が検索されて検証手段に供給される。検証手段は、2つハッシュ値の一致性を検証する。一致する場合当該パスワード認証要求は正常であると判定される。一致しない場合、エラーとして処理する。
 パスワード変更要求が入力した場合、ハッシュ演算手段によって算出されたハッシュ値及びユーザ識別情報はパスワード変更手段28に供給される。パスワード変更手段は、変更要求に含まれるユーザ識別情報を用いてデータベースを検索し、変更要求に含まれるユーザ識別情報により特定されるハッシュ値(登録パスワード)を変更要求にかかるハッシュ値(あらたな認証パスワード)で書き換える。このように、パスワードの変更は、データベースに保存されている登録パスワードを新たな認証パスワードで書き換えるだけで終了する。
 上述した認証サーバは現在稼働中のパスワード認証システムが適用される認証サーバとほぼ同様である。従って、現在稼働中のパスワード認証システムに本発明を適用することができる。この場合、データベースに保存されている登録パスワードを変更して新たに設定し直すだけである。すなわち、端末装置に本発明の端末モジュールを設定してセットアップ作業を行う。セットアップ作業が完了した後、ユーザは、ユーザパスワードを決定し、入力手段を介してユーザパスワードを入力し論理演算を行なって認証パスワードを生成する。生成された認証パスワード及びユーザ識別情報を含むパスワード変更要求を生成して認証サーバに送信する。認証パスワード及びユーザ識別情報はハッシュ演算手段に入力する。ハッシュ演算手段によって算出されたハッシュ値及びユーザ識別情報はパスワード変更手段28に供給される。パスワード変更手段は、変更要求に含まれるユーザ識別情報を用いてデータベースを検索し、変更要求に含まれるユーザ識別情報により特定されるハッシュ値を変更要求にかかるハッシュ値で書き換える。これにより、セットアップ作業は終了し、パスワード認証作業を行うことができる。
 図5は端末モジュールの変形例を示す図である。本例では、アクセス中のWebサイトのアドレスを取得し、ユーザパスワード、固有コード及びアクセス中のWebサイトのアドレスを用いて論理演算を行う。尚、図3で用いた部材と同一の部材については同一符号を付して説明する。ユーザは、目的とするWebサイトにアクセスする。続いて、ユーザは、入力装置11にユーザパスワードを入力する。ユーザパスワードは演算機能12に送られる。ユーザパスワードの入力に応じて、固有コード管理機能部13から指定されたWebサイトの固有コードが演算機能部に送られる。また、アドレス取得機能16が作動し、アクセス中のWebサイトのアドレスを取得する。取得されたアドレスは演算機能12に供給される。演算機能12は、ユーザパスワード、固有コード及びアクセス中のWebサイトのアドレスを用いて論理演算を実行し、その出力を認証パスワードとして認証・登録・変更要求送信機能15に送る。認証・登録・変更要求送信機能は、入力した認証パスワードとユーザ識別情報を含むパスワード認証要求等を作成して認証サーバに送信する。
 本発明は上述した実施例だけに限定されず、種々の変形や変更が可能である。例えば、認証パスワードを変更する場合、ユーザパスワードを変更し、変更されたユーザパスワードと固有コードとを用いて論理演算し、その演算結果をユーザ識別情報と共に認証サーバに送信する。そして、データベースのユーザ識別情報による特定される登録パスワードを新たな認証パスワードで書き換える。これによりセットアップ作業が終了する。以後は、新たなユーザパスワードを用いて認証処理行なわれる。
 本発明は、ユーザパスワードを用いて本人認証が行われるパスワード認証システムにおいて利用することができる。
 
 
 

Claims (17)

  1.  認証パスワードを用いて本人認証を行う認証サーバと、ユーザが利用する端末装置とを具えるパスワード認証システムにおいて、
     前記端末装置は、ユーザパスワードを入力する入力手段と、ユーザ毎に設定された固有コードを記憶した固有コード記憶手段と、固有コード記憶手段に記憶した固有コードとユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、生成された認証パスワードとユーザ識別情報を前記認証サーバに送信する手段とを有し、
     前記認証サーバは、端末装置から送られてくるパスワード登録要求に含まれる認証パスワードを認証の基準となる登録パスワードとしてユーザ識別情報と共に記憶するパスワード記憶手段、及び、端末装置から送られてくるパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、パスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証する検証手段とを有し、
     セットアップに際し、端末装置は、ユーザパスワードと前記固有コード記憶手段に記憶した固有コードとを用いて論理演算を行なって認証パスワードを生成し、生成された認証パスワードを含むパスワード登録要求を認証サーバに送信し、当該認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとしてユーザ識別情報と共に前記パスワード記憶手段に記憶し、
     パスワード認証に際し、前記端末装置は、ユーザパスワードと前記固有コード記憶手段に記憶されている固有コードを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード認証要求を前記認証サーバに送信し、
     前記認証サーバは、受信したパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信したパスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証することを特徴とするパスワード認証システム。
  2.  請求項1に記載のパスワード認証システムにおいて、前記固有コード記憶手段には、認証サーバが設置されたWebサイト毎に異なる固有コードが記憶され、
     パスワード認証に際し、ユーザは目的とするWebサイトを指定し、端末装置は指定されたWebサイトの固有コードとユーザパスワードを用いて論理演算し、1つの同一のユーザパスワードを用いてWebサイト毎に異なる認証パスワードを出力することを特徴とするパスワード認証システム。
  3.  請求項1又は2に記載のパスワード認証システムにおいて、前記論理演算としてハッシュ演算又は暗号化演算を行い、出力されるハッシュ値又は暗号化データを認証パスワードとして用いることを特徴とするパスワード認証システム。
  4.  請求項1、2又は3に記載のパスワード認証システムにおいて、前記固有コードとして、Webサイトのアドレス情報又はドメイン情報を含むことを特徴とするパスワード認証システム。
  5.  請求項1、2又は3に記載のパスワード認証システムにおいて、前記固有コードとして、認証サーバからユーザに対して付与されたユーザ情報、又はユーザ自身が設定する固有コードの何れかの組合せを含むことを特徴とするパスワード認証システム。
  6.  請求項1、2又は3に記載のパスワード認証システムにおいて、前記認証サーバは、固有コードを生成する固有コード生成手段を有し、端末装置からの固有コード生成要求に応じて固有コードを生成して対応する端末装置に送信し、端末装置は、受信した固有コードを前記固有コード記憶手段に記憶することを特徴とするパスワード認証システム。
  7.  請求項6に記載のパスワード認証システムにおいて、前記認証サーバは、固有コード生成手段として乱数生成器を有し、端末装置からの固有コード生成要求の受信に応じて所定の桁数の乱数を生成し、生成された乱数を端末装置に送信し、
     前記端末装置は、受信した乱数を前記固有コード記憶手段に保存することを特徴とするパスワード認証システム。
  8.  請求項1から7までのいずれか1項に記載のパスワード認証システムにおいて、前記認証サーバは、登録パスワード記憶手段に記憶されている登録パスワードを新たな認証パスワードで置き換えるパスワード変更手段を有し、 
     パスワード変更に際し、ユーザは自身のユーザパスワード又は変更されたユーザパスワードを端末装置に入力し、前記端末装置は、ユーザによって入力されたユーザパスワードと、設定されている固有コード又は変更された固有コードとを用いて論理演算を行なって新たな認証パスワードを生成し、生成された認証パスワードを含むパスワード変更要求を認証サーバに送信し、当該認証サーバのパスワード変更手段は、登録パスワード記憶手段に記憶されている登録パスワードを受信したパスワード変更要求に含まれる認証パスワードで置き換えることを特徴とするパスワード認証システム。
  9.  認証パスワードを用いて本人認証を行う認証サーバと、ユーザが利用する端末装置とを具えるパスワード認証システムにおいて、
     前記端末装置は、ユーザパスワードを入力する入力手段と、アクセス中のWebサイトのアドレス情報を取得するアドレス取得手段と、アドレス取得手段によって取得されたアドレス情報とユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、前記認証パスワードをユーザ識別情報と共に認証サーバに送信する手段とを有し、
     前記認証サーバは、認証の基準となる登録パスワードを記憶するパスワード記憶手段と、端末装置から送られてくるパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、前記パスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証する検証手段とを有し、
     セットアップに際し、ユーザは目的とするWebサーバにアクセスし、端末装置は、アクセス中のWebサイトのアドレス情報を取得し、取得したWebサイトのアドレス情報とユーザパスワードとを用いて前記論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード登録要求を認証サーバに送信し、当該認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとして前記パスワード記憶手段に記憶し、
     パスワード認証に際し、ユーザは目的とするWebサーバにアクセスし、端末装置は、アクセス中のWebサイトのアドレスを取得し、取得したWebサイトのアドレスとユーザパスワードとを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを前記認証サーバに送信し、
     認証サーバは、受信したパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信した認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証することを特徴とするパスワード認証システム。
  10.  請求項9に記載のパスワード認証システムにおいて、前記端末装置は、パスワード認証に際し、フィシング詐欺のWebサイトに対して、登録パスワードとは異なる誤ったコード列の認証パスワードを送信することを特徴とするパスワード認証システム。
  11.  請求項9又は10に記載のパスワード認証システムにおいて、前記端末装置は、さらに、ユーザごとに設定された固有コードを記憶した固有コード記憶手段を有し、前記演算手段は、ユーザパスワードと、前記固有コード記憶手段に記憶した固有コードと、アクセス中のWebサイトのアドレス情報とを用いて論理演算を行なって認証パスワードを出力することを特徴とするパスワード認証システム。
  12.  請求項9、10又は11に記載のパスワード認証システムにおいて、前記端末装置は、1つのユーザパスワードを用いてWebサイト毎に異なる認証パスワードを出力することを特徴とするパスワード認証システム。
  13.  請求項9、10又は11に記載のパスワード認証システムにおいて、前記Webサイトのアドレス情報として、WebサイトのURL又はURLの一部或いはWebサイトのドメインを用いることを特徴とするパスワード認証システム。
  14.  請求項9から12までのいずれか1項に記載のパスワード認証システムにおいて、前記Webサイトの認証サーバは、前記パスワード記憶手段に記憶されている登録パスワードを新たな認証パスワードで置き換えるパスワード変更手段を有し、 
     パスワード変更に際し、ユーザはパスワードが変更されるWebサイトにアクセスすると共に自身のユーザパスワード又は変更されたユーザパスワードを端末装置に入力し、前記端末装置は、アクセス中のWebサイトのアドレス情報を取得し、取得したWebサイトのアドレス情報と入力されたユーザパスワードとを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード変更要求を前記Webサイトの認証サーバに送信し、当該認証サーバのパスワード変更手段は、パスワード記憶手段に記憶され、パスワード変更要求に含まれるユーザ識別情報によって特定される登録パスワードを受信したパスワード変更要求に含まれる認証パスワードで置き換えることを特徴とするパスワード認証システム。
  15.  ユーザが利用する端末装置と、端末装置から送られてくる認証パスワードを用いて本人認証を行う認証サーバとを具えるパスワード認証システムで用いられる端末装置であって、
     当該端末装置は、ユーザパスワードを入力する入力手段と、ユーザ毎に設定された固有コードを記憶した固有コード記憶手段と、固有コード記憶手段に記憶した固有コードとユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、生成された認証パスワードとユーザ識別情報を認証サーバに送信する手段とを有し、 
     パスワード認証に際し、端末装置は、ユーザパスワードと固有コード記憶手段に記憶されている固有コードとを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワード及びユーザ識別情報を含むパスワード認証要求を認証サーバに送信することを特徴とする端末装置。
  16.  認証パスワードを用いて本人認証が行なわれるパスワード認証システムに用いられる端末装置であって、
     当該端末装置は、ユーザパスワードを入力する入力手段と、アクセス中のWebサイトのアドレスを取得するアドレス取得手段と、アドレス取得手段により取得されたWebサイトのアドレスとユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、演算手段から出力される認証パスワードとユーザ識別情報を前記Webサイトの認証サーバに送信する手段とを有し、
     パスワード認証に際し、当該端末装置は、アクセス中のWebサイトのアドレス情報を取得し、取得したWebサイトのアドレス情報とユーザパスワードとを用いて前記論理演算を行って認証パスワードを生成し、生成された認証パスワードを前記Webサイトの認証サーバに送信し、フィシング詐欺のWebサイトに対して、認証の基準となる登録パスワードとは異なる誤ったコード列の認証パスワードを送信することを特徴とする端末装置。
  17.  請求項16に記載の端末装置において、さらに、論理演算に用いられる演算コードとして作用する固有コードを記憶した固有コード記憶手段を有し、前記演算手段は、ユーザによって入力されたユーザパスワードと、アクセス中のWebサイトのアドレスと、前記記憶手段に記憶した固有コードとを用いて論理演算することを特徴とする端末装置。
     
PCT/JP2021/040418 2020-03-16 2021-11-02 パスワード認証システム WO2022107591A1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US18/020,543 US20230300125A1 (en) 2020-03-16 2021-11-02 Password authentication system

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2020045747 2020-03-16
JP2020-192419 2020-11-19
JP2020192419A JP6910748B1 (ja) 2020-03-16 2020-11-19 パスワード認証システム

Publications (1)

Publication Number Publication Date
WO2022107591A1 true WO2022107591A1 (ja) 2022-05-27

Family

ID=76967794

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2021/040418 WO2022107591A1 (ja) 2020-03-16 2021-11-02 パスワード認証システム

Country Status (3)

Country Link
US (1) US20230300125A1 (ja)
JP (1) JP6910748B1 (ja)
WO (1) WO2022107591A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6910748B1 (ja) * 2020-03-16 2021-07-28 木戸 啓介 パスワード認証システム
JP7316714B1 (ja) 2023-02-13 2023-07-28 株式会社フレアリンク 認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4820928B1 (ja) * 2011-07-08 2011-11-24 株式会社野村総合研究所 認証システムおよび認証方法
JP2015521309A (ja) * 2012-04-25 2015-07-27 ロウェム インコーポレイテッド パスコード運営システム、パスコード装置、及びスーパーパスコードの生成方法
JP2021149930A (ja) * 2020-03-16 2021-09-27 啓介 木戸 パスワード認証システム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7509495B2 (en) * 2003-07-10 2009-03-24 Cinnober Financial Technology, Ab Authentication protocol

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4820928B1 (ja) * 2011-07-08 2011-11-24 株式会社野村総合研究所 認証システムおよび認証方法
JP2015521309A (ja) * 2012-04-25 2015-07-27 ロウェム インコーポレイテッド パスコード運営システム、パスコード装置、及びスーパーパスコードの生成方法
JP2021149930A (ja) * 2020-03-16 2021-09-27 啓介 木戸 パスワード認証システム

Also Published As

Publication number Publication date
JP2021149930A (ja) 2021-09-27
US20230300125A1 (en) 2023-09-21
JP6910748B1 (ja) 2021-07-28

Similar Documents

Publication Publication Date Title
US11223614B2 (en) Single sign on with multiple authentication factors
CN110493202B (zh) 登录令牌的生成及验证方法、装置和服务器
EP2314046B1 (en) Credential management system and method
US8041954B2 (en) Method and system for providing a secure login solution using one-time passwords
US9294288B2 (en) Facilitating secure online transactions
US7895432B2 (en) Method and apparatus for using a third party authentication server
CN109787988A (zh) 一种身份加强认证和鉴权方法及装置
JP4256361B2 (ja) 認証管理方法及びシステム
CN101427510A (zh) 用于网络功能描述的数字通行
WO2022107591A1 (ja) パスワード認証システム
US10277405B2 (en) Method for updating seed data in dynamic token
CN109688133A (zh) 一种基于免账号登录的通信方法
JP4350769B2 (ja) 認証サーバ及びオンラインサービスシステム
JP2008176383A (ja) ワンタイムパスワード生成方法、ワンタイムパスワード認証方法、ワンタイムパスワード生成装置、ワンタイムパスワードの生成機能を備えたicカード、ワンタイムパスワード認証装置、icカードプログラム及びコンピュータプログラム
JP4845660B2 (ja) ログイン処理装置、ログイン処理システム、プログラム、及び記録媒体
US20100146605A1 (en) Method and system for providing secure online authentication
KR100877593B1 (ko) 랜덤하게 맵핑되는 가변 패스워드에 의한 인증 보안 방법
CA2611549C (en) Method and system for providing a secure login solution using one-time passwords
JP2021111925A (ja) 電子署名システム
KR102336416B1 (ko) 웹 사이트의 아이디와 비밀번호를 핸드폰 번호에 결합하고 웹 사이트에 핸드폰 번호를 입력하여 핸드폰 고유의 본인확인을 통해 웹 사이트에 로그인하는 시스템과 방법
KR20050071391A (ko) 다양한 실명일련번호 체계에 지원하는 등급별 권한부여실명인증 시스템
KR100406292B1 (ko) 터미널 통신상의 사용자 보안 및 자동 인증을 위한 비밀번호 전송시스템 및 전송방법
KR20060021614A (ko) 의사 난수 매핑 테이블을 이용한 일회용 비밀 번호시스템과 이를 이용한 사용자 인증 방법
KR20040082538A (ko) 웹상에서의 싱글 사인온을 위한 안전한 쿠키 처리 방법
JP2023007525A (ja) 電子署名システム

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21894465

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21894465

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: JP