WO2022107591A1 - パスワード認証システム - Google Patents

Abstract

桁数の少ないパスワードを用いて高度なセキュリティレベルを維持できるパスワード認証システムを提供する。本発明では、利用者の頭脳に記憶されたユーザパスワードと端末装置に秘匿的に保存されＷｅｂサイト毎に設定された固有コードを用いて論理演算を行なって多数桁の演算結果を出力する。その演算結果を認証パスワードとして用いて認証処理が行なわれる。従って、利用者が少数桁のパスワードを頭脳に記憶するだけで、多数桁の複雑なパスワードを用いて認証処理が行なわれる。さらに、１つのユーザパスワードを用いてＷｅｂサイトごとに異なる認証パスワードが出力される。この結果、利用者がパスワードを失念する課題が解決すると共にパスワード認証のセキュリティレベルを格段に向上させることができる。さらに、アクセス中のＷｅｂサイトのアドレスを取得し、アクセス中のＷｅｂサイトのアドレス情報を含めて論理演算を行うことにより、使い回しの問題及びフィッシング詐欺の課題を解決できる。

Description

パスワード認証システム

　本発明は、ビット数が少ないパスワードを用いて高度なセキュリティレベルを維持できるパスワード認証システムに関するものである。
　さらに、本発明は、パスワードの使い回し及びフィッシング詐欺に対して有効な対策が施されたパスワード認証システムに関するものである。

　ユーザ識別情報（ユーザＩＤ）とパスワードを用いて本人確認を行うパスワード認証は、ソフトウェアで実現できるため実装コストが安い利点があり、また、どこでも使用できる汎用性を有している。また、ＳＳＬ暗号通信の普及により通信経路においてパスワードが盗聴されるリスクが大幅に低下している。これらの理由から、パスワード認証は広く普及している。

　一方、パスワード認証はハッカによりパスワードが推測されやすい欠点があり、パスワードが盗まれた場合不正使用され、多大な被害が発生する。これに対処するため、パスワードの桁数を多くすれば、パスワードが推測されるリスクが低下する。しかしながら、パスワードの桁数を多くしたのでは、設定されたパスワードを正確に記憶し続けることが困難になり、パスワードを失念するリスクがある。一方、少数ビット数の簡単なパスワードを用いた場合、パスワードを忘れるリスクは低下するものの、パスワードが盗まれる危険性が増大する。

　インターネットの普及により多数のアカウントを有するユーザも多数存在する。このようなユーザにとって、サイト毎に異なるパスワードを設定し記憶することは事実上困難であり、複数のサイトについて同一のパスワードを使い回すことが行われている。しかしながら、Ｗｅｂサイトによってはセキュリティが脆弱なサイトも存在する。この場合、セキュリティが脆弱なサイトがハッカによる攻撃を受け、パスワードが流出した場合、同一のパスワードを用いる他のサイトにおける安全性が損なわれてしまう。特に、金融機関のようなセキュリティが強固なサイトであっても、使い回しによって別のサイトからパスワードが流出した場合、たとえ高度なセキュリティを有していても、不正使用される危険性がある。従って、使い回しに起因する問題を解消することも重要な課題である。

　さらに、フィッシング詐欺によりパスワードが盗まれる被害も多発している。従って、利用者をフィッシング詐欺から有効に防護することも緊急の課題である。パスワードの使い回し及びフィッシング詐欺対策として、パスワードを紙にメモする方法、パスワードを電子ファィルにより端末装置に保存する方法、パスワードを管理ツールを用いて保存する方法が提案されている（例えば、非特許文献１参照）。
「パスワードリスト攻撃とは、被害の原因と対策方法」2019年5月14日最終更新

　上述したパスワードを紙にメモする方法では、パスワードがネットワークを経由して窃盗される危険はないものの、紙そのものを紛失したり盗難の危険性がある。また、電子フアイルに保存する方法及び管理ツールを用いて保存する方法では、端末装置内にパスワードが存在するため、ハッカのアタックによりパスワードが外部に流出するおそれがある。すなわち、現在実用化されているパスワード認証システムでは、パスワードの使い回しに起因する問題及びフィッシング詐欺の問題に対して十分に対応できていないのが実情である。

　さらに、インターネットを利用したサービス業界では、パスワード認証システムが現実に広く普及しているため、多数のサイトで現実に稼働しているパスワード認証システムについて、大幅な変更を要することなくセキュリティレベルを向上させることが急務の課題である。従って、現在稼働中のパスワード認証システムについて簡単な改善策を講ずるだけでパスワードの使い回し及びフィッシング詐欺に有効に対応できるパスワード認証の開発も強く要請されている。

　本発明の目的は、現行のパスワード認証システムに大幅な変更を加えることなく、桁数の少ない簡単なパスワードを用いて高度なセキュリティレベルを維持できるパスワード認証システムを提供することにある。
　本発明の別の目的は、パスワードの使い回しの問題を解決できるパスワード認証システムを提供することにある。
　さらに、本発明の別の目的は、高度なセキュリティレベルが維持できると共にパスワードの使い回し起因する問題及びフィッシング対策として有効なパスワード認証システムを実現することにある。

　本発明によるパスワード認証システムは、認証パスワードを用いて本人認証を行う認証サーバと、ユーザが利用する端末装置とを具えるパスワード認証システムにおいて、
　前記端末装置は、ユーザパスワードを入力する入力手段と、ユーザ毎に設定された固有コードを記憶した固有コード記憶手段と、固有コード記憶手段に記憶した固有コードとユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、生成された認証パスワードとユーザ識別情報を前記認証サーバに送信する手段とを有し、
　前記認証サーバは、端末装置から送られてくるパスワード登録要求に含まれる認証パスワードを認証の基準となる登録パスワードとしてユーザ識別情報と共に記憶するパスワード記憶手段、及び、端末装置から送られてくるパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、パスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証する検証手段とを有し、
　セットアップに際し、端末装置は、ユーザパスワードと前記固有コード記憶手段に記憶した固有コードとを用いて論理演算を行なって認証パスワードを生成し、生成された認証パスワードを含むパスワード登録要求を認証サーバに送信し、当該認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとしてユーザ識別情報と共に前記パスワード記憶手段に記憶し、
　パスワード認証に際し、前記端末装置は、ユーザパスワードと前記固有コード記憶手段に記憶されている固有コードを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード認証要求を前記認証サーバに送信し、
　前記認証サーバは、受信したパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信したパスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証することを特徴とする。

　本人認証に当たって、ユーザは、自身の頭脳に秘匿的に保持されているユーザパスワードを端末装置に入力する。端末装置は、入力されたユーザパスワードと端末装置に保存されている固有コードとを用いて論理演算し、その演算結果を認証パスワードとして出力する。生成された認証パスワードは、ユーザ識別情報と共にネットワークを介してＷｅｂサイトの認証サーバに送信する。認証サーバは、端末装置から送信された認証パスワードと認証サーバに登録されている登録パスワードとの一致性を検証する。この構成によって、以下の４つの作用効果が達成される。

　第１の効果として、ユーザによって端末装置に入力された少数桁のユーザパスワードは、固有コードを用いて論理演算されることにより多数桁の認証パスワードに変換され、多数桁の認証パスワードを用いて本人認証が行なわれる。この結果、認証作業で用いられるパスワードの情報エントロピーが大幅に増大するので、情報エントロピーの大きい多数桁のユーザパスワードを用いて認証する場合と等価なセキュリティレベルが得られ、セキュリティレベルが大幅に上昇する。他方において、ユーザが保持するユーザパスワードは少数桁の文字列ないし数列にすることができるので、利用者の負担が軽減され、利用者がパスワードを失念する課題も解消される。
　さらに、ユーザパスワードは、端末装置に保存されている固有コードを用いて論理演算されて認証の基準となる認証パスワードが生成される。従って、たとえ、ユーザパスワードが漏洩しても、固有コードが知られない限り認証パスワードが第三者に知られることはない。また、端末装置に保存されている固有コードが第三者に知られても、ユーザパスワードが知られないかぎり、認証パスワードが知られることはない。従って、従来のパスワード認証システムよりも安全性が格段に向上する。

　第２の作用効果として、使い回しに起因する問題が解決される。本発明では、ユーザは１つの同一のユーザパスワードを使用するだけで、Ｗｅｂサイト毎に異なる認証パスワードを出力することができる。すなわち、本発明では、固有コードとして、各Ｗｅｂサイト毎に設定されたコード列を用いることができるので、Ｗｅｂサイト毎に相違する固有コードを用いて論理演算が行なわれる。この場合、１つの同一のユーザパスワードを用いても、Ｗｅｂサイト毎に異なる認証パスワードが出力される。この結果として、たとえユーザが複数のＷｅｂサイトについて同一のパスワードを用いても、Ｗｅｂサイト毎に異なる認証パスワードが用いられるので、パスワードの使い回しに起因する問題が解決される。さらに、複数のＷｅｂサイトにアクセスする場合であっても、ユーザは１つの同一のユーザパスワードを端末装置に入力するだけであるため、ユーザの負担が大幅に軽減される。

　第３の効果として、パスワード認証に用いられる認証パスワードが端末装置内に保管されないことである。すなわち、本発明では、ユーザが保持するユーザパスワードは少数桁の簡単な数列や文字列で済むので、ユーザパスワードはユーザの頭脳に明瞭に記憶することができる。さらに、実際の検証に用いられる認証パスワードは、ユーザパスワードと固有コードとの論理演算の結果として出力されるため、認証作業中に一時的に端末装置に存在するだけである。すなわち、認証作業に用いられるユーザパスワード及び認証パスワードは、認証処理中に端末装置に一時的に存在するだけである。従って、ハッカのアタックにより認証パスワードが盗まれる危険性が大幅に減少する。

　さらに、第４の効果として、現在実用化されているパスワード認証システムに格別な変更を加えることなく、従来の認証システムよりもセキュリティレベルが格段に向上したパスワード認証システムに変更することができる。すなわち、セットアップ作業として、少数桁のユーザパスワードを多数桁の認証パスワードに変換する端末モジュールを端末装置に設定し、認証サーバのデータベースに登録パスワードをセットアップするだけであり、認証サーバの変更は不要である。すなわち、認証サーバには、ユーザＩＤと登録パスワードを含むアカウントが登録されている。従って、認証サーバは、受信した認証要求に含まれる認証パスワードとアカウントに登録された登録パスワードとの一致性を検証するだけで本人認証を行うことができる。このように、認証サーバには格別な変更を加える必要はなく、ユーザパスワードを多数桁の認証パスワードに変換する端末モジュールを端末装置に設定するだけで、従来のパスワード認証システムをそのまま利用することができる。

　本発明の技術的特徴は以下のように要約される。すなわち、現行の認証サーバに格別な変更を加えることなく、ユーザが入力した少数桁のユーザパスワードを多数桁の認証パスワードに変換する端末モジュールを端末装置に設定するだけで、使い回しに起因する問題が解消した高いセキュリティレベルのパスワード認証システムが実現される。

　本発明では、固有コードはユーザ毎に設定する。一方、固有コードとして、ＷｅｂサイトのドメインやＵＲＬのようなＷｅｂサイトのアドレス情報、Ｗｅｂサイトがユーザに設定したお客様情報のような各ユーザに固有のユーザ情報やユーザＩＤ、又はユーザのメールアドレスを管理サーバや認証サーバの秘密鍵で暗号化した暗号化情報を用いることができる。例えば、ＷｅｂサイトのドメインやＵＲＬは各Ｗｅｂサイト毎に相違するので、ユーザパスワードとＷｅｂサイトのドメイン又はＵＲＬとを用いて論理演算を実行すれば、１つの固定されたユーザパスワードを用いても各Ｗｅｂサイト毎に異なる認証パスワードを設定することができる。

　ユーザパスワードと固有コードを用いる論理演算として、種々のハッシュ演算や暗号化演算を利用することができる。一例として、ユーザパスワード及び固有コードを連結し、連結されたコードデータについてハッシュ演算を行う。得られたハッシュ値を認証パスワードとして利用する。例えば、２桁のユーザパスワードと、２５６桁（２０４８ビット）の固有コードとを連結し、２５６ハッシュ演算を行なって２５６ビットの認証パスワードを出力する。この場合、単に２桁の数字をユーザパスワードとして暗記するだけで、３２桁（２５６ビット）の認証パスワードを用いて認証処理が行なわれるため、利用者の負担が大幅に低減されると共にシステムのセキュリティレベルも相当高くなる。

　本発明の別のパスワード認証システムは、認証パスワードを用いて本人認証を行う認証サーバと、ユーザが利用する端末装置とを具えるパスワード認証システムにおいて、
　前記端末装置は、ユーザパスワードを入力する入力手段と、アクセス中のＷｅｂサイトのアドレス情報を取得するアドレス取得手段と、アドレス取得手段によって取得されたアドレス情報とユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、前記認証パスワードをユーザ識別情報と共に認証サーバに送信する手段とを有し、
　前記認証サーバは、認証の基準となる登録パスワードを記憶するパスワード記憶手段と、端末装置から送られてくるパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、前記パスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証する検証手段とを有し、
　セットアップに際し、ユーザは目的とするＷｅｂサーバにアクセスし、端末装置は、アクセス中のＷｅｂサイトのアドレス情報を取得し、取得したＷｅｂサイトのアドレス情報とユーザパスワードとを用いて前記論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード登録要求を認証サーバに送信し、当該認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとして前記パスワード記憶手段に記憶し、
　パスワード認証に際し、ユーザは目的とするＷｅｂサーバにアクセスし、端末装置は、アクセス中のＷｅｂサイトのアドレスを取得し、取得したＷｅｂサイトのアドレスとユーザパスワードとを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを前記認証サーバに送信し、
　認証サーバは、受信したパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信した認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証することを特徴とする。　

　本発明では、端末装置に設けたアドレス取得手段を利用して、アクセス中の認証サーバないしＷｅｂサイトのアドレス情報を取得する。Ｗｅｂサイトのアドレスはサイトごとに相違するから、Ｗｅｂサイト又は認証サーバのアドレスを含めて論理演算を行うことにより、同一のユーザパスワードを用いても、各Ｗｅｂサイト毎に固有の認証パスワードが生成される。この結果、同一のユーザパスワードを用いても、認証サーバ又はＷｅｂサイトごとに異なる認証パスワードを用いて認証処理が行なわれるので、パスワードを使い回す必要性が消滅し、パスワードの使い回しの問題が解消する。

　このパスワード認証システムのフィッシング詐欺に対する防衛効果について説明する。本発明のパスワード認証システムでは、認証パスワードの生成に対応して、アクセス中の認証サーバないしＷｅｂサイトのアドレス情報を取得し、取得したアドレス情報を用いて認証パスワードを生成する。よって、各認証サーバに対して、Ｗｅｂサイトごとに異なる固有の登録パスワードが設定される。例えば、○○〇銀行のＷｅｂサイトとの間でユーザ認証を行なう場合、認証のためのセットアップにおいて○○〇銀行のサイトのアドレス、例えばＵＲＬ又はその一部が取得され、取得された○○〇銀行のアドレスと、利用者が記憶したユーザパスワードと、端末装置に保存されている固有コードとを用いて論理演算が行なわれ、演算結果が出力される。そして、出力された演算結果が認証パスワードとなり、認証サーバに送信され、登録パスワードとして登録される。

　その後、正常な認証要求が行なわれると、認証要求の生成に先立って、端末装置によって○○〇銀行のアドレスが取得される。そして、取得されたアドレスと、ユーザによって入力されたユーザパスワードと、保存されている固有コードとを用いて論理演算が実行され、演算結果が認証パスワードとなり、認証パスワードを含む認証要求が認証サーバに送信される。認証パスワードは認証サーバに記憶されている登録パスワードと同一の演算コードを用いて生成されるので、認証サーバの認証処理において認証パスワードと登録パスワードとは一致する。その結果、当該認証要求は正常であると認定され、ログインが許可される。

　これに対して、誤ってフィッシング詐欺のサイトに誘導された場合、ユーザのモニタ上には○○〇銀行のログイン画面と外見上ほぼ同一のログイン画面が表示される。よって、ユーザは、モニタ上に表示されたログイン画面は○○〇銀行の正式なログイン画面と思い込み、認証パスワードを生成しログイン画面に入力してしまう。そして、入力された認証パスワードはフィッシング詐欺のサイトに送信される。

　しかしながら、フィッシング詐欺のサイトに送信された認証パスワードは、○○〇銀行に登録された正式な登録パスワードとは異なるビットコードである。すなわち、フィッシング詐欺のサイトに誘導された場合、認証パスワードの生成に先立って端末装置のアドレス取得機能が作動し、アクセス中のＷｅｂサイトのアドレスを取得する。一方、各Ｗｅｂサイトにはサイトごとに異なるアドレスが設定されているから、取得されたアドレスは○○〇銀行の正しいアドレスとは相違する。従って、端末装置は、○○〇銀行のアドレスとは異なるアドレスと、ユーザパスワードと、固有コードとを用いて論理演算を実行する。その演算結果は、論理演算の演算コードが相違するため、正しい演算結果とは異なる別の演算結果が出力される。この結果、フィッシング詐欺のサイトに送信される認証パスワードは、正式な登録パスワードとは異なる別のビットコードである。従って、フィッシング詐欺に遇っても、認証パスワードが盗まれることはない。すなわち、このパスワード認証システムでは、認証パスワードの生成に応じてアクセス中のＷｅｂサーバのアドレスを取得するので、フィッシング詐欺に有効に対抗することができる。

　上述した説明では、ユーザパスワードと、固有コードと、Ｗｅｂサイトのアドレスとを用いて論理演算を行なって認証パスワードを生成したが、固有コードを用いず、ユーザパスワードとアクセス中のＷｅｂサイトのアドレスを用いて論理演算を行なって認証パスワードを生成することもできる。

　本発明による端末装置は、ユーザが利用する端末装置と、端末装置から送られてくる認証パスワードを用いて本人認証を行う認証サーバとを具えるパスワード認証システムで用いられる端末装置であって、
　当該端末装置は、ユーザパスワードを入力する入力手段と、ユーザ毎に設定された固有コードを記憶した固有コード記憶手段と、固有コード記憶手段に記憶した固有コードとユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、生成された認証パスワードとユーザ識別情報を認証サーバに送信する手段とを有し、　
　パスワード認証に際し、端末装置は、ユーザパスワードと固有コード記憶手段に記憶されている固有コードとを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワード及びユーザ識別情報を含むパスワード認証要求を認証サーバに送信することを特徴とする。
　現在実用化されているパスワード認証システムに用いられる既存の端末装置は、ユーザパスワードを入力する手段及びユーザパスワードをユーザＩＤと共に認証サーバに送信する手段を有する。よって、固有コード記憶手段及びユーザによって入力されたユーザパスワードと固有コード記憶手段に記憶された固有コードとを用いて論理演算する論理演算手段を有する端末モジュールを端末装置に設置するだけで、本発明による端末装置が完成する。よって、既存の端末装置に簡単な端末モジュールを設置するだけで、セキュリティ強度が格段に向上した端末装置が実現される。

　本発明の別の端末装置は、認証パスワードを用いて本人認証が行なわれるパスワード認証システムに用いられる端末装置であって、
　当該端末装置は、ユーザパスワードを入力する入力手段と、アクセス中のＷｅｂサイトのアドレスを取得するアドレス取得手段と、アドレス取得手段により取得されたＷｅｂサイトのアドレスとユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、演算手段から出力される認証パスワードとユーザ識別情報を前記Ｗｅｂサイトの認証サーバに送信する手段とを有し、
　パスワード認証に際し、当該端末装置は、アクセス中のＷｅｂサイトのアドレス情報を取得し、取得したＷｅｂサイトのアドレス情報とユーザパスワードとを用いて前記論理演算を行って認証パスワードを生成し、生成された認証パスワードを前記Ｗｅｂサイトの認証サーバに送信し、フィシング詐欺のＷｅｂサイトに対して、認証の基準となる登録パスワードとは異なる誤ったコード列の認証パスワードを送信することを特徴とする。

　本発明では、利用者によって入力されたユーザパスワードと端末装置に秘匿的に保存されている固有コードを用いて論理演算を行なって多数桁の演算結果を出力し、多数桁の認証パスワードを用いて認証処理が行なわれる。従って、利用者が少数桁の簡単なパスワードを頭脳に記憶するだけで、多数桁の複雑なパスワードを用いて認証処理が行なわれる。よって、利用者がパスワードを失念する課題が解決すると共にパスワード認証のセキュリティレベルを格段に向上させることができる。

　さらに、本発明のパスワード認証システムでは、論理演算に用いられる固有コードは、Ｗｅｂサイト毎に設定し、Ｗｅｂサイト毎に相違させることができる。よって、１つのユーザパスワードを用いて各Ｗｅｂサイトごとに異なる認証パスワードを出力することができる。この結果、１つのユーザパスワードを用いて、Ｗｅｂサイト毎に異なる認証パスワードを用いて認証処理が行なわれるので、使い回しに起因する問題が解消する。

　固有コードとして、Ｗｅｂサイトに固有のビットコード或いはユーザに特有のビットコードを用いることができる。Ｗｅｂサイトに固有のビットコードとして、Ｗｅｂサイト又はＷｅｂサイトに設置された認証サーバのアドレス情報やドメインを用いことができる。ユーザに特有のビットコードとして、Ｗｅｂサイト又は認証サーバからユーザに付与されるユーザ情報がある。例えば、銀行の「お客様番号」のようなユーザ情報は、各銀行のサイトごとに割り振られ、同一人に対して各サイトごとに異なるユーザ情報が設定される。よって、ユーザ情報を演算コードに取り入れて論理演算することにより、同一のユーザパスワードを用いても各Ｗｅｂサイト毎に異なる認証パスワードを出力することができる。

　さらに、本発明のパスワード認証システムでは、端末装置は、アクセス中のＷｅｂサイトのアドレスを取得するアドレス取得手段を有し、認証パスワードの生成に先立ってアクセス中のＷｅｂサイトのアドレスを取得し、取得したアドレスを演算コードに取り入れて演算処理を行い、その演算結果を認証パスワードとして出力する。各サイトのドメインやアドレスはサイトごとに相違するから、同一のユーザパスワードを用いても、サイトごとに異なる認証パスワードを出力することができる。これにより、使い回しによる問題が解決する。さらに、フィッシング詐欺のサイトに誘導されてパスワードの入力が要求されても、フィッシング詐欺のサイトのアドレスを演算コードに含めて論理演算が行なわれるので、いずれのＷｅｂサイトの認証パスワードにも合致しない数列ないし文字列がフィッシング詐欺の画面に入力されるので、フィッシング詐欺によりパスワードが盗用される問題が解決される。

　総合的な作用効果として、本発明によれば、利用者の頭脳に記憶し易い少数桁の簡単なパスワードを用いて、パスワードの使い回しの問題及びフィッシング詐欺の問題が一挙に解消し、セキュリティレベルが格段に向上したパスワード認証システムを実現することができる。さらに、現在稼働中のパスワード認証システムの端末装置に、ユーザパスワードを多数桁の認証パスワードに変換する端末モジュールを設けるだけで、本発明を実施することができる。

本発明によるパスワード認証システムの全体構成を示す図である。 本発明によるパスワード認証システムの認証プロセスを示す図である。 端末装置に設定される端末モジュールの機能構成を示す図である。 認証サーバの機能構成示す図である。 端末モジュールの機能構成の変形例を示す図である。

　図１は本発明によるパスワード認証システムの全体構成を示す線図である。ネットワーク１には、ユーザが利用する複数の端末装置２－１～２－ｎが接続される。さらに、ネットワーク１には、Ａ銀行のＷｅｂサイト３、Ｂ銀行のＷｅｂサイト４、及びＣ証券のＷｅｂサイト５接続されている。これらＷｅｂサイトは、本人認証を行う認証サーバ３ａ～５ａをそれぞれ有し、端末装置からの認証要求は認証サーバ３ａ～５ａにより処理される。本発明では、Ｗｅｂサイトごとに異なるユーザパスワードを設定して本人認証を行うのではなく、１つのユーザパスワードを用いて端末装置において各Ｗｅｂサイトごとに異なる認証パスワードを生成し、各Ｗｅｂサイトごとに設定された認証パスワードを用いて本人認証を行なう。すなわち、ユーザは、目的とするＷｅｂサイトを指定して１つのユーザパスワードを端末装置に入力するだけで、各Ｗｅｂサイトごとに認証パスワードがそれぞれ生成され、Ｗｅｂサイトごとに固有の認証パスワードを用いてユーザ認証が行なわれる。

　尚、ネットワーク１には、認証管理サーバ６が接続され、この認証管理サーバを通じてシングルサインオンでの複数のＩＤ／ＰＷ認証サーバへ適用することも可能である。

　本発明によるパスワード認証システムの基本構成について説明する。本発明の基本思想は、ユーザの頭脳に秘匿的に記憶されている少数桁のユーザパスワードと、端末装置に保存されＷｅｂサイト毎に設定された多数桁の演算コードとを用いて論理演算を行なって、多数ビットのコードデータを出力する。出力されたコードデータを実際の認証作業に用いられるパスワード、すなわち認証パスワードとして用いる。

　セットアップに際し、演算手段から出力される認証パスワードは、ネットワークを介してＷｅｂサイトの認証サーバに送信され、認証の基準となる登録パスワードとして記憶する。この登録パスワードは、ユーザ識別情報と共にデータベースに保存する。本人認証の際には、ユーザによってユーザパスワードが端末装置に入力され、ユーザによって入力されたユーザパスワードとユーザによって指定されたＷｅｂサイトの固有コードとを用いて論理演算が実行され、認証パスワードが生成される。生成された認証パスワードはネットワークを介して認証サーバに送信され、データベースに記憶されている登録パスワードとの一致性が検証され、一致する場合正当な権限を有する者の認証要求であると判定され、ログインすることができる。この仕組みを利用することにより、少数桁の簡単なユーザパスワードを用いて多数桁の認証パスワードを出力することができ、情報エントロピーの大きな多数桁のパスワードを用いて本人認証する場合と同様な高度なセキュリティレベルが達成される。しかも、ユーザパスワード及び認証パスワード共に端末装置に保存されないので、パスワードがハッカに盗まれる危険性も解消する。

　さらに発展した本発明のパスワード認証システムは、パスワードの使い回しに起因する課題及びフィッシング詐欺による課題の両方を一挙に解決することができる。すなわち、本発明の別のパスワード認証システムでは、端末装置は、アクセス中のＷｅｂサイトのアドレス情報を取得する手段を有し、認証パスワードの生成に対応してアクセス中のＷｅｂサイトのアドレスを取得する。そして、取得したアドレスを演算コードに取り入れて演算処理を行い、その演算結果を認証パスワードとして出力する。各Ｗｅｂサイトのアドレスやドメインはサイト毎に相違するので、アクセス中のＷｅｂサイトのアドレスを演算コードに取り入れて論理演算を行なうことにより、アクセスしたＷｅｂサイトごとに異なる演算結果が生成される。この結果、同一のユーザパスワードを用いても各Ｗｅｂサイトごとに異なる認証パスワードが生成され、各サイトごとに異なる認証パスワードを用いてユーザ認証を行うことができる。

　さらに、アクセス中のサイトのドメインを取得するので、フィッシング詐欺のサイトに誘導されてパスワードの入力が要求されても、フィッシング詐欺のサイトのドメインを演算コードに含めて論理演算が行なわれるので、いずれのサイトの認証パスワードにも合致しない数列ないし文字列がフィッシング詐欺のサイトに入力され、正しい認証パスワードがフィッシング詐欺のサイトに入力されることはない。このように、本発明のパスワード認証システムは、使い回しに起因する課題及びフィッシング詐欺に対する課題の両方を一挙に解決することができる。

　論理演算式として、目的に応じて以下の論理式を用いることができる。
（１）［ユーザパスワード＋固有コード］×ハッシュ演算＝ハッシュ値
　ユーザパスワードとユーザパスワードよりもビット数の多い固有コードを連結し、連結されたビット列についてハッシュ演算を実行する。得られたハッシュ値を認証パスワードとする。本例では、少数桁のユーザパスワードを桁数の大きな認証パスワードに変換する。従って、ユーザがパスワードを失念する可能性が減少すると共にセキュリティのレベルを一層高めることができる。
（２）［ユーザパスワード＋固有コード＋サイト情報（例えば、Ｗｅｂサイトのドメイン又はＵＲＬ）］×ハッシュ演算＝ハッシュ値
　ＷｅｂサイトのドメインやＵＲＬはＷｅｂサイト毎に相違する。従って、各Ｗｅｂサイトに設定される演算コードとしてＷｅｂサイトのドメインを用いれば、各Ｗｅｂサーバついて同一のユーザパスワードを用いても各Ｗｅｂサイト毎に演算コードが相違するため、各Ｗｅｂサーバ毎に相違する認証パスワードを形成することができる。これにより、パスワードの使い回しの問題が解決する。尚、固有コードを用いず、ユーザパスワードとサイト情報だけを用いて論理演算して認証パスワードを生成することも可能である。
（３）［ユーザパスワード＋固有コード＋ユーザ情報（例えば、ＷｅｂサーバからＩＤユーザに対して設定される「お客様情報」）］×ハッシュ演算＝ハッシュ値
　お客様情報や口座番号のようなＷｅｂサイトによってユーザに対して設定される情報はＷｅｂサイト毎に相違する。よって、Ｗｅｂサイトによって設定されるユーザ情報を演算コードとして用いることにより、各Ｗｅｂサイト毎に相違する認証パスワードを設定することができる。この場合も、ユーザパスワードとユーザ情報とを用いて論理演算することができる。
（４）［ユーザパスワード＋固有コード＋アクセス中のＷｅｂサイトのアドレス情報］×ハッシュ演算＝ハッシュ値
　Ｗｅｂサイト及び認証サーバのアドレスは各サーバごとに相違する。従って、認証パスワードを生成する際、アクセス中の認証サーバのアドレスを取得し、取得したアドレスを用いて論理演算することにより同一のユーザパスワードを用いてＷｅｂサイトごとに異なる認証パスワードを設定することができる。さらに、認証パスワードを生成する際、アクセス中のサーバのドメインを取得し、取得したドメインを演算コードに含めて論理演算することにより、フィッシング詐欺のサイトに誘導されても、誤ったコード列が出力されるだけであり、いずれかのサイトに登録されたパスワードに合致したコード列が出力されないため、フィッシング詐欺に対して極めて有効である。
（５）［ユーザパスワード＋固有コード＋アクセス中のＷｅｂサイトのドメイン］×ハッシュ演算＝ハッシュ値
（６）［ユーザパスワード＋アクセス中のＷｅｂサイトのアドレス情報］×ハッシュ演算＝ハッシュ値　
　ユーザパスワードとＷｅｂサイトのアドレスで十分な桁数の認証パスワードが得られる場合、固有コードを用いなくてもよい。
（７）［ユーザパスワード＋アクセス中のＷｅｂサイトのドメイン］×ハッシュ演算＝ハッシュ値

　図２は本発明によるパスワード認証システムの具体的な認証プロセスの一例を示す図である。本例では、現在稼働しているパスワード認証システムの端末装置に本発明の端末モジュールを設定することによりセットアップを行う。また、論理演算の演算コードとして、ユーザパスワード、固有コード及びアクセス中のＷｅｂサイトのアドレスを用いる。

　初めに、ユーザは目的とするＷｅｂサイトの認証サーバにアクセスし、アカウントを生成する（ステップ１）。アカウントは、ユーザＩＤ、ユーザのメールアドレス及び本人確認用パスワードを含む。

　認証サーバは基本情報について重複チェックを行なった後、本人確認を行う（ステップ２）。本人確認に際し、認証サーバは、アカウントに登録されたメールアドレスに認証リンクを送信する。ユーザは、認証リンクをクリックし、ユーザＩＤと本人確認用のパスワードを入力する。認証サーバは、入力されたパスワードとアカウントに含まれるパスワードとの一致性を検証する。

　本人確認に成功すると、認証サーバは、端末モジュールのインストールファイルを送信する（ステップ３）。端末モジュールは、パスワード認証における端末装置の一連の機能を含み、端末モジュールの各種機能を介して認証サーバと端末装置との間で認証処理が行なわれる。尚、既に端末装置に端末モジュールが設定されている場合、端末モジュールのインストールファイルは送信しない。

　ダウンロードされた端末モジュールについてセットアップを行う（ステップ４）。初めに、ユーザは、論理演算に用いる固有コードを設定する。本例では、固有コードとして、認証サーバで生成した２４桁の乱数を用いる。ユーザは、端末装置から認証サーバに対して固有コードの生成要求を送信する。認証サーバは、固有コードの生成要求の受信に応じて、乱数発生器を作動させて２４桁の乱数を生成して端末装置に送信する。端末装置は、受信した２４桁の乱数を固有コードとして保存する。

　次に、ユーザは、ユーザパスワードを決定し、自身の頭脳に秘匿的に記憶する。ユーザパスワードは忘れにくいパスワードとすることが望ましい。

　次に、認証処理に用いられる認証パスワードを生成する。本例では、論理演算式は以下の論理式に基づく。
［ユーザパスワード＋固有コード＋アクセス中のＷｅｂサイトのドメイン］×ハッシュ演算＝ハッシュ値
　端末装置は、ユーザパスワード、固有コード、及びアクセス中のサイトのドメインを連結してハッシュ演算を行い、出力されるハッシュ値を認証パスワードとする。論理演算式は種々の演算式を用いることができ、例えばＳＨＡ１ハッシュ演算やＳＨＡ２５６ハッシュ演算を用いることができる。また、ＤＥＳ５６等の暗号化演算式を用いることもできる。

　次に、端末装置は、出力された認証パスワードをユーザ識別情報と共にアクセス中の認証サーバにパスワード登録要求として送信する。認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとしてユーザ識別情報と共にデータベースに記憶し、セットアップは完了する。この登録要求は、認証パスワードを登録パスワードとして登録するために必要な情報も含む。尚、登録パスワードは受信した認証パスワードをそのまま利用することができ、或いは受信した認証パスワードについてハッシュ演算を行なってハッシュ値を生成し、ハッシュ値を登録パスワードとしてユーザ識別情報と共にデータベースに記憶してもよい。本例では、受信した認証パスワードから生成したハッシュ値を照合対象とする。このようにすることにより、認証パスワードは、端末装置にも認証サーバにも保存されないことになり、例えハッカが侵入に成功しても、認証パスワードを取り出すことはできない。

　続いて、パスワード認証要求の際の認証処理（ステップ５）について説明する。認証要求に当たって、ユーザは、認証の対象となるＷｅｂサイトの認証サーバにアクセスする。続いて、ユーザは入力手段を介してユーザパスワードを入力する。ユーザパスワードの入力に伴い、アドレス取得手段を作動させてアクセス中のＷｅｂサイトのアドレスを取得する。次に、ユーザパスワード、取得したアドレス、及び固有コードを用いて論理演算を行なって認証パスワードを生成する。続いて、生成された認証パスワードとユーザ識別情報を含む認証要求を生成し、認証要求を認証サーバに送信する。

　認証サーバは、受信したパスワード認証要求から認証パスワードを抽出し、ハッシュ演算処理を行なってハッシュ値を出力する。続いて、認証要求に含まれるユーザ識別情報を用いて対応する登録パスワードを検索し、検索された登録パスワード（ハッシュ値）と認証パスワードのハッシュ値との一致性を検証する。一致した場合、有効な認証要求である認定し、ログインを許可する。

　図３は、端末装置にインストールされる端末モジュールの機能構成の一例を示す。尚、端末装置の機能のうちユーザ認証に係る部分だけを示す。本例では、ユーザパスワードと固有コードと用いて論理演算を行い、認証パスワードを生成する。端末装置は通信手段１０を有し、通信手段を介してＷｅｂサイトの認証サーバにアクセスする。通信手段は、ＳＳＬ暗号通信機能を含むブラウザー基本機能を有する。端末装置は例えばキーボードのような入力装置１１を有し、ユーザは入力装置１１を介してユーザパスワードを入力する。入力されたユーザパスワードは演算機能１２に供給される。また、ユーザは、入力装置を介してパスワード認証を求めるＷｅｂサイトを指定する。サイト指定情報は固有コード記憶機能１３に供給される。固有コード記憶機能１３は、各Ｗｅｂサイト毎にサイト名と固有コードとを対の関係で記憶する。ユーザによって指定されたＷｅｂサイトの固有コードは演算機能１２に供給される。

　さらに、端末モジュールは、サイト情報管理機能１４を有する。サイト情報管理機能１４はＷｅｂサイトに関する情報を管理する。例えば、認証を求めるＷｅｂサイトにアクセスして固有コードを取得し、固有コード記憶機能１３に保存する。

　演算機能１２は、入力したユーザパスワード及び固有コードについてハッシュ演算を行い、その演算結果を認証パスワードとして出力する。出力された認証パスワードは認証・登録・変更要求送信機能１５に入力する。ユーザは、入力装置を介して認証パスワードが認証要求、登録要求、又は変更要求のいずれに係るものかを示す指示を認証・登録・変更要求送信機能１５に送る。また、認証パスワードの送信先はサイト情報管理機能１４から供給される。例えば、パスワード認証を行う場合、認証・登録・変更要求送信機能１５には、入力した認証パスワードはパスワード認証要求にかかるものである旨が指示され、サイト情報管理機能１４から送信すべきＷｅｂサイトのアドレスが指定される。そして、認証・登録・変更要求送信機能１５は、認証パスワード及びユーザ識別情報を含むパスワード認証要求を作成し、通信手段１０を介して指定したＷｅｂサイトに送信する。

　ユーザがユーザパスワードの変更を希望する場合、ユーザは変更されたユーザパスワードを入力装置に入力する。また、パスワード変更に係るＷｅｂサイト名を固有コード記憶機能１３及びサイト情報管理機能１４に供給する。演算機能１２は、変更後のユーザパスワードと変更に係るＷｅｂサイトの固有コードとを用いて論理演算を行い、変更後の認証パスワードを認証・登録・変更要求送信機能１５に出力する。認証・登録・変更要求送信機能は、変更後の認証パスワード及びユーザ識別情報を含むパスワード変更要求を生成して認証サーバに送信する。

　図４は認証サーバの機能構成の一例を示す。尚、ユーザ認証に係る構成だけを示す。認証サーバは通信手段２０を有する。通信手段２０は、ＳＳＬサーバ証明書の発行機能及びＳＳＬ暗号通信機能を有する。認証サーバは、アカウント管理部２１を有し、アカウント管理部２１はアカウント登録部２１ａ、パスワード管理部２１ｂ及びユーザ情報管理部２１ｃを有する。アカウント登録部２１ａは、各端末装置に対してユーザ情報を付与すると共にパスワードの初期設定を行う。パスワード管理部２１ｂは、パスワード変更等がされた場合に端末装置から送られたパスワードを保存する。ユーザ情報管理部２１ｃは、ユーザのメールアドレス、電話番号、固有コードの構成情報を含むユーザに関する情報を保存する。

　認証サーバは、乱数発生器２２を有し、端末装置からの固有コード要求の受信に応じて所定の桁数の乱数を生成し、端末装置に送信する。

　認証サーバは、判別手段２３を有し、端末装置から送られた要求信号がパスワード登録要求、パスワード認証要求、又はパスワード変更要求のいずれかであるかを判別する。判別手段２３は、認証要求等を示す判別情報と、認証パスワード及びユーザ識別情報とをハッシュ演算手段２４に供給する。ハッシュ演算手段２４は、入力した認証パスワードについてハッシュ演算を行なってハッシュ値を算出する。

　パスワード登録要求が入力すると、ハッシュ演算手段によって算出されたハッシュ値は、ユーザ識別情報と共に書込手段２５に供給され、書込手段により登録パスワードとしてデータベース２６に書き込まれる。

　パスワード認証要求が入力すると、ハッシュ演算手段によって算出されたハッシュ値は検証手段２７に供給される。また、ユーザ識別情報を用いてデータベース２６が検索され、認証要求に含まれるユーザ識別情報により特定されるハッシュ値（登録パスワード）が検索されて検証手段に供給される。検証手段は、２つハッシュ値の一致性を検証する。一致する場合当該パスワード認証要求は正常であると判定される。一致しない場合、エラーとして処理する。

　パスワード変更要求が入力した場合、ハッシュ演算手段によって算出されたハッシュ値及びユーザ識別情報はパスワード変更手段２８に供給される。パスワード変更手段は、変更要求に含まれるユーザ識別情報を用いてデータベースを検索し、変更要求に含まれるユーザ識別情報により特定されるハッシュ値（登録パスワード）を変更要求にかかるハッシュ値（あらたな認証パスワード）で書き換える。このように、パスワードの変更は、データベースに保存されている登録パスワードを新たな認証パスワードで書き換えるだけで終了する。

　上述した認証サーバは現在稼働中のパスワード認証システムが適用される認証サーバとほぼ同様である。従って、現在稼働中のパスワード認証システムに本発明を適用することができる。この場合、データベースに保存されている登録パスワードを変更して新たに設定し直すだけである。すなわち、端末装置に本発明の端末モジュールを設定してセットアップ作業を行う。セットアップ作業が完了した後、ユーザは、ユーザパスワードを決定し、入力手段を介してユーザパスワードを入力し論理演算を行なって認証パスワードを生成する。生成された認証パスワード及びユーザ識別情報を含むパスワード変更要求を生成して認証サーバに送信する。認証パスワード及びユーザ識別情報はハッシュ演算手段に入力する。ハッシュ演算手段によって算出されたハッシュ値及びユーザ識別情報はパスワード変更手段２８に供給される。パスワード変更手段は、変更要求に含まれるユーザ識別情報を用いてデータベースを検索し、変更要求に含まれるユーザ識別情報により特定されるハッシュ値を変更要求にかかるハッシュ値で書き換える。これにより、セットアップ作業は終了し、パスワード認証作業を行うことができる。

　図５は端末モジュールの変形例を示す図である。本例では、アクセス中のＷｅｂサイトのアドレスを取得し、ユーザパスワード、固有コード及びアクセス中のＷｅｂサイトのアドレスを用いて論理演算を行う。尚、図３で用いた部材と同一の部材については同一符号を付して説明する。ユーザは、目的とするＷｅｂサイトにアクセスする。続いて、ユーザは、入力装置１１にユーザパスワードを入力する。ユーザパスワードは演算機能１２に送られる。ユーザパスワードの入力に応じて、固有コード管理機能部１３から指定されたＷｅｂサイトの固有コードが演算機能部に送られる。また、アドレス取得機能１６が作動し、アクセス中のＷｅｂサイトのアドレスを取得する。取得されたアドレスは演算機能１２に供給される。演算機能１２は、ユーザパスワード、固有コード及びアクセス中のＷｅｂサイトのアドレスを用いて論理演算を実行し、その出力を認証パスワードとして認証・登録・変更要求送信機能１５に送る。認証・登録・変更要求送信機能は、入力した認証パスワードとユーザ識別情報を含むパスワード認証要求等を作成して認証サーバに送信する。

　本発明は上述した実施例だけに限定されず、種々の変形や変更が可能である。例えば、認証パスワードを変更する場合、ユーザパスワードを変更し、変更されたユーザパスワードと固有コードとを用いて論理演算し、その演算結果をユーザ識別情報と共に認証サーバに送信する。そして、データベースのユーザ識別情報による特定される登録パスワードを新たな認証パスワードで書き換える。これによりセットアップ作業が終了する。以後は、新たなユーザパスワードを用いて認証処理行なわれる。

　本発明は、ユーザパスワードを用いて本人認証が行われるパスワード認証システムにおいて利用することができる。
 
 
 

Claims (17)

1. 　認証パスワードを用いて本人認証を行う認証サーバと、ユーザが利用する端末装置とを具えるパスワード認証システムにおいて、
   　前記端末装置は、ユーザパスワードを入力する入力手段と、ユーザ毎に設定された固有コードを記憶した固有コード記憶手段と、固有コード記憶手段に記憶した固有コードとユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、生成された認証パスワードとユーザ識別情報を前記認証サーバに送信する手段とを有し、
   　前記認証サーバは、端末装置から送られてくるパスワード登録要求に含まれる認証パスワードを認証の基準となる登録パスワードとしてユーザ識別情報と共に記憶するパスワード記憶手段、及び、端末装置から送られてくるパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、パスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証する検証手段とを有し、
   　セットアップに際し、端末装置は、ユーザパスワードと前記固有コード記憶手段に記憶した固有コードとを用いて論理演算を行なって認証パスワードを生成し、生成された認証パスワードを含むパスワード登録要求を認証サーバに送信し、当該認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとしてユーザ識別情報と共に前記パスワード記憶手段に記憶し、
   　パスワード認証に際し、前記端末装置は、ユーザパスワードと前記固有コード記憶手段に記憶されている固有コードを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード認証要求を前記認証サーバに送信し、
   　前記認証サーバは、受信したパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信したパスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証することを特徴とするパスワード認証システム。
2. 　請求項１に記載のパスワード認証システムにおいて、前記固有コード記憶手段には、認証サーバが設置されたＷｅｂサイト毎に異なる固有コードが記憶され、
   　パスワード認証に際し、ユーザは目的とするＷｅｂサイトを指定し、端末装置は指定されたＷｅｂサイトの固有コードとユーザパスワードを用いて論理演算し、１つの同一のユーザパスワードを用いてＷｅｂサイト毎に異なる認証パスワードを出力することを特徴とするパスワード認証システム。
3. 　請求項１又は２に記載のパスワード認証システムにおいて、前記論理演算としてハッシュ演算又は暗号化演算を行い、出力されるハッシュ値又は暗号化データを認証パスワードとして用いることを特徴とするパスワード認証システム。
4. 　請求項１、２又は３に記載のパスワード認証システムにおいて、前記固有コードとして、Ｗｅｂサイトのアドレス情報又はドメイン情報を含むことを特徴とするパスワード認証システム。
5. 　請求項１、２又は３に記載のパスワード認証システムにおいて、前記固有コードとして、認証サーバからユーザに対して付与されたユーザ情報、又はユーザ自身が設定する固有コードの何れかの組合せを含むことを特徴とするパスワード認証システム。
6. 　請求項１、２又は３に記載のパスワード認証システムにおいて、前記認証サーバは、固有コードを生成する固有コード生成手段を有し、端末装置からの固有コード生成要求に応じて固有コードを生成して対応する端末装置に送信し、端末装置は、受信した固有コードを前記固有コード記憶手段に記憶することを特徴とするパスワード認証システム。
7. 　請求項６に記載のパスワード認証システムにおいて、前記認証サーバは、固有コード生成手段として乱数生成器を有し、端末装置からの固有コード生成要求の受信に応じて所定の桁数の乱数を生成し、生成された乱数を端末装置に送信し、
   　前記端末装置は、受信した乱数を前記固有コード記憶手段に保存することを特徴とするパスワード認証システム。
8. 　請求項１から７までのいずれか１項に記載のパスワード認証システムにおいて、前記認証サーバは、登録パスワード記憶手段に記憶されている登録パスワードを新たな認証パスワードで置き換えるパスワード変更手段を有し、　
   　パスワード変更に際し、ユーザは自身のユーザパスワード又は変更されたユーザパスワードを端末装置に入力し、前記端末装置は、ユーザによって入力されたユーザパスワードと、設定されている固有コード又は変更された固有コードとを用いて論理演算を行なって新たな認証パスワードを生成し、生成された認証パスワードを含むパスワード変更要求を認証サーバに送信し、当該認証サーバのパスワード変更手段は、登録パスワード記憶手段に記憶されている登録パスワードを受信したパスワード変更要求に含まれる認証パスワードで置き換えることを特徴とするパスワード認証システム。
9. 　認証パスワードを用いて本人認証を行う認証サーバと、ユーザが利用する端末装置とを具えるパスワード認証システムにおいて、
   　前記端末装置は、ユーザパスワードを入力する入力手段と、アクセス中のＷｅｂサイトのアドレス情報を取得するアドレス取得手段と、アドレス取得手段によって取得されたアドレス情報とユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、前記認証パスワードをユーザ識別情報と共に認証サーバに送信する手段とを有し、
   　前記認証サーバは、認証の基準となる登録パスワードを記憶するパスワード記憶手段と、端末装置から送られてくるパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、前記パスワード認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証する検証手段とを有し、
   　セットアップに際し、ユーザは目的とするＷｅｂサーバにアクセスし、端末装置は、アクセス中のＷｅｂサイトのアドレス情報を取得し、取得したＷｅｂサイトのアドレス情報とユーザパスワードとを用いて前記論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード登録要求を認証サーバに送信し、当該認証サーバは、受信したパスワード登録要求に含まれる認証パスワードを登録パスワードとして前記パスワード記憶手段に記憶し、
   　パスワード認証に際し、ユーザは目的とするＷｅｂサーバにアクセスし、端末装置は、アクセス中のＷｅｂサイトのアドレスを取得し、取得したＷｅｂサイトのアドレスとユーザパスワードとを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを前記認証サーバに送信し、
   　認証サーバは、受信したパスワード認証要求に含まれる認証パスワードと、前記パスワード記憶手段に記憶され、受信した認証要求に含まれるユーザ識別情報により特定される登録パスワードとの一致性を検証することを特徴とするパスワード認証システム。
10. 　請求項９に記載のパスワード認証システムにおいて、前記端末装置は、パスワード認証に際し、フィシング詐欺のＷｅｂサイトに対して、登録パスワードとは異なる誤ったコード列の認証パスワードを送信することを特徴とするパスワード認証システム。
11. 　請求項９又は１０に記載のパスワード認証システムにおいて、前記端末装置は、さらに、ユーザごとに設定された固有コードを記憶した固有コード記憶手段を有し、前記演算手段は、ユーザパスワードと、前記固有コード記憶手段に記憶した固有コードと、アクセス中のＷｅｂサイトのアドレス情報とを用いて論理演算を行なって認証パスワードを出力することを特徴とするパスワード認証システム。
12. 　請求項９、１０又は１１に記載のパスワード認証システムにおいて、前記端末装置は、１つのユーザパスワードを用いてＷｅｂサイト毎に異なる認証パスワードを出力することを特徴とするパスワード認証システム。
13. 　請求項９、１０又は１１に記載のパスワード認証システムにおいて、前記Ｗｅｂサイトのアドレス情報として、ＷｅｂサイトのＵＲＬ又はＵＲＬの一部或いはＷｅｂサイトのドメインを用いることを特徴とするパスワード認証システム。
14. 　請求項９から１２までのいずれか１項に記載のパスワード認証システムにおいて、前記Ｗｅｂサイトの認証サーバは、前記パスワード記憶手段に記憶されている登録パスワードを新たな認証パスワードで置き換えるパスワード変更手段を有し、　
    　パスワード変更に際し、ユーザはパスワードが変更されるＷｅｂサイトにアクセスすると共に自身のユーザパスワード又は変更されたユーザパスワードを端末装置に入力し、前記端末装置は、アクセス中のＷｅｂサイトのアドレス情報を取得し、取得したＷｅｂサイトのアドレス情報と入力されたユーザパスワードとを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワードを含むパスワード変更要求を前記Ｗｅｂサイトの認証サーバに送信し、当該認証サーバのパスワード変更手段は、パスワード記憶手段に記憶され、パスワード変更要求に含まれるユーザ識別情報によって特定される登録パスワードを受信したパスワード変更要求に含まれる認証パスワードで置き換えることを特徴とするパスワード認証システム。
15. 　ユーザが利用する端末装置と、端末装置から送られてくる認証パスワードを用いて本人認証を行う認証サーバとを具えるパスワード認証システムで用いられる端末装置であって、
    　当該端末装置は、ユーザパスワードを入力する入力手段と、ユーザ毎に設定された固有コードを記憶した固有コード記憶手段と、固有コード記憶手段に記憶した固有コードとユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、生成された認証パスワードとユーザ識別情報を認証サーバに送信する手段とを有し、　
    　パスワード認証に際し、端末装置は、ユーザパスワードと固有コード記憶手段に記憶されている固有コードとを用いて論理演算を行って認証パスワードを生成し、生成された認証パスワード及びユーザ識別情報を含むパスワード認証要求を認証サーバに送信することを特徴とする端末装置。
16. 　認証パスワードを用いて本人認証が行なわれるパスワード認証システムに用いられる端末装置であって、
    　当該端末装置は、ユーザパスワードを入力する入力手段と、アクセス中のＷｅｂサイトのアドレスを取得するアドレス取得手段と、アドレス取得手段により取得されたＷｅｂサイトのアドレスとユーザによって入力されたユーザパスワードとを用いて論理演算し、その演算結果を認証パスワードとして出力する演算手段と、演算手段から出力される認証パスワードとユーザ識別情報を前記Ｗｅｂサイトの認証サーバに送信する手段とを有し、
    　パスワード認証に際し、当該端末装置は、アクセス中のＷｅｂサイトのアドレス情報を取得し、取得したＷｅｂサイトのアドレス情報とユーザパスワードとを用いて前記論理演算を行って認証パスワードを生成し、生成された認証パスワードを前記Ｗｅｂサイトの認証サーバに送信し、フィシング詐欺のＷｅｂサイトに対して、認証の基準となる登録パスワードとは異なる誤ったコード列の認証パスワードを送信することを特徴とする端末装置。
17. 　請求項１６に記載の端末装置において、さらに、論理演算に用いられる演算コードとして作用する固有コードを記憶した固有コード記憶手段を有し、前記演算手段は、ユーザによって入力されたユーザパスワードと、アクセス中のＷｅｂサイトのアドレスと、前記記憶手段に記憶した固有コードとを用いて論理演算することを特徴とする端末装置。
     

Images