ワンタイムパスワード

これから大学でセキュリティの勉強をしようとしているのですが
ワンタイムパスワードに興味を持ちました
ただ実際に僕はワンタイムパスワードを使用したことが無いので
わからないことだらけです

現在ワンタイムパスワードはどのくらい実用化されているのでしょうか？
ワンタイムパスワードはチャレンジレスポンス、S/Keyの他にもあるのでしょうか？

チャレンジレスポンスの場合、悪意のある人間がHHAを持っていた場合に
チャレンジコードを盗聴されてしまったらそれを元にパスワードが知られてしまうのではないでしょうか？

たくさん質問してしまいましたがどれかひとつでも答えてもらえれば助かります
よろしくお願いします

No.1 ベストアンサー 回答者： a-kuma 回答日時： 2001/04/10 20:30

> 現在ワンタイムパスワードはどのくらい実用化されているのでしょうか？

実際に使われているか、ということでしょうか。

まともな会社で、計算機に社外（イントラネット外）からのアクセスを
認めているところであれば、どこでも利用しているのではないでしょうか。


> ワンタイムパスワードはチャレンジレスポンス、S/Keyの他にもあるのでしょうか？

私が勤めている会社は SecureID というのを使ってます（→参照URLのひとつめ）。
「タイムシンクロナス方式」と解説されてますね。


> 悪意のある人間がHHAを持っていた場合にチャレンジコードを盗聴されてしまったら...

チャレンジコードは接続の度に変わりますから、パスフレーズを
知られない限りは大丈夫です（→参照URLのふたつめ）。

MD5なんかは「不可逆な一方向関数を含む」とされていますから、
ネットワークを流れたレスポンスコードを知っていても、パスフレーズを
算出できない（ということになっている）です。

参考URL：http://www.fjssl.co.jp/products/secur/sec_produc … http://rigs.st.ryukoku.ac.jp/otp/about.shtml

この回答へのお礼

ありがとうございました

お礼日時：2001/04/11 15:43

No.2 回答者： punchan_jp 回答日時： 2001/04/10 21:50

一方向関数 md5 を用いればなぜ盗聴されてもよいかについて:

下のa-kunaさんも紹介している OPIE （や、そのもとの S/Key）で
は、パスフレーズをたとえば 499 回 md5 に通した結果と、その回
数 499 を、リモートホスト側に登録しておき、telnet の接続があ
ると、その回数から1回引いた値をチャレンジとして与えます。ユー
ザは指定された回数だけ md5 を通した結果を手元の計算機で計算
して返答し、リモート側ではそれを1回だけ md5 に通して、登録結
果と一致すれば OK というわけです。

一度ログインに成功したら、今の response を1少ない値とともに
登録し直しておくと、次は異なるチャレンジを与えることになりま
す。ある回で盗聴されたとしても、次の回ではその response を逆
md5 した値を答えなければならないので、事実上安全とされている
わけです。（回数を減らしていくのがミソ。増やす方式だと、過去
の結果を記憶されたらアウトです。）

登録されているパスフレーズの md5 回数がどんどん減って、1になっ
てしまったら、そのアカウントはもはやリモートから利用できません。
それまでに、再登録等が必要となります。

この回答へのお礼

ありがとうございました

お礼日時：2001/04/11 15:42