ワンタイムパスワードについて

インターネットバンキングの宣伝で「ワンタイムパスワード」を使いましょうとか、使ってほしいとか強調されています。これは自宅でインターネットバンキングを使って送金などをするときに従来のパスワードに替わって、「ワンタイムパスワード」を作成する機械（道具：創出器ということにします）から出た（表出した）番号をパスワードとする仕組みである、と理解しています。質問の１：この創出器はインターネットにつながっていないのに、ここで示された番号（パスワード）をインターネットバンキングの画面の「パスワード」の欄に入力すると送金などができますが、この原理の概要を教えてください。質問2：それならば銀行の店舗などのＡＴＭでは記憶しているパスワードを使う必要がありますが、ＡＴＭでもこの創出器を持参して、ＡＴＭで創出器で番号を出し、それをＡＴＭのパスワードの欄に入力すればいいのでは、と思いますが、なぜできないのでしょうか？簡単に言えばこの創出器はＡＴＭで何故使えないのか？

No.5 回答者： zircon3 回答日時： 2017/10/17 16:46

No.1です。

> 正直アルゴリズムという言葉の概念がよく理解できませんので

以下参考に。

https://ja.wikipedia.org/wiki/%E3%82%A2%E3%83%AB …

ちなみに「種」というのはある値です。数値でもよいし文字列でもよい。
この種（と日時など）を入力しあるアルゴリズムで計算するとパスワードが出て来る、、、という仕掛けを持った物がパスワード生成装置です。

No.4 回答者： OnneName 回答日時： 2017/10/17 13:07

回答2

ＡＴＭで使うために創出器を使うのならキャッシュカードとともに持ち歩くことになる。
紛失あるいは盗難にあえば両方が他人の手に渡れば暗証の意味が無くなる。

この回答へのお礼

早速ありがとうございます。

お礼日時：2017/10/17 16:43

No.3 回答者： ヒートホーク 回答日時： 2017/10/17 13:00

利用の前にパスワードを変更して送金、その後に使ったパスワードを消す、というシステムです。

だから、次に誰か他人が同じ番号を使っても使えない、と。

ATMの利用は本人というのが大前提だからです。ワンタイムパスワードを使う必要がない

ATMでワンタイムパスワードなんか使ったら入力間違い３回で口座がロックされてしまって大混乱になります。

この回答へのお礼

早速ありがとうございます。

お礼日時：2017/10/17 16:42

No.2 回答者： meg68k 回答日時： 2017/10/17 12:10

おはようございます。

ワンタイムパスワードの基本的な考え方は「パソコン等でブラウ
ザなんかの機能でIDとパスワードを記録されて、人が変わっても
接続できてしまう」というトラブルを回避するのが主目的だと思
うのです。

それを現状のIDとパスワードとは別に（「代わって」ではありま
せん）ワンタイムパスワードトークン（専用の機械の場合もあり
ますし、スマホのアプリの場合もあります）が発生する毎回違う
パスワード認証も行うというものです。

>質問の１：この創出器はインターネットにつながっていないのに、
ここで示された番号（パスワード）をインターネットバンキングの
>画面の「パスワード」の欄に入力すると送金などができますが、
>この原理の概要を教えてください。

トークンが１台１台もっているユニークナンバーと利用目的で個別
判定しているようです。トークン自体がネット接続していなくても
ワンタイムパスワードを使用すると選んだ時点でパソコン等が使用
するトークンが発生するナンバーを登録する形になっています。

>質問2：それならば銀行の店舗などのＡＴＭでは記憶しているパス
>ワードを使う必要がありますが、ＡＴＭでもこの創出器を持参して、
>ＡＴＭで創出器で番号を出し、それをＡＴＭのパスワードの欄に入力すればいいのでは、と思いますが、なぜできないのでしょうか？

ほとんどのワンタイムパスワードは従来のID・パスワード認証は生
きています。まずID・パスワードを入れてその認証を抜けてから、
そのあとワンタイムパスワード認証するという２段階認証なんです。

ぶっちゃけた話、従来のID・パスワードなしのワンタイムパスワー
ドだけでは弱い、と考えているのではないでしょうか。

この回答へのお礼

早速ありがとうございます。

お礼日時：2017/10/17 16:42

No.1 ベストアンサー 回答者： zircon3 回答日時： 2017/10/17 11:50

1) まず、パスワード生成のための種を生成し、これを利用者に送る生成装置と金融機関側の装置に入れます。

種は利用者ごとに異なりますので、金融機関側では利用者ごとに管理します。
　そして生成装置と金融機関側の装置では同じアルゴリズムを用いてパスワードの生成を行います。生成のたびにパスワードを変えるために日時を使用するようにしている金融機関が多いです。秒まで用いると時計の精度、特に利用者に渡す生成装置のそれが問題となり価格上昇にもなりますので、その辺の加減はいろいろです。
　で、パスワード生成のための種と生成のためのアルゴリズムが同じですので利用者が持つ生成装置と金融機関側の装置で生成したパスワードは同じ物になります、、、というかそのようになるアルゴリズムを使用しています。

2) 「出来ない」のではなく「行う必要が無い（と考えている）」というだけです。
　　理由は利用者が所有するパソコン等を用いる場合はインターネットの他の機能（例えばメールなど）の利用時や、他のWebサイトの利用時にWebアクセスしているURLやキー入力を盗み取るウィルスなどを仕込まれる可能性があります。また、金融機関のWebサイト自体のホームページ（最初に奉持されるページ）が不正な物に置き換えられ、以降のページは不正サイトへ行くよう改ざんされたり、何らかの方法でそのような金融機関のWebサイトに似せた不正サイトへ誘導されたりといった事が起こり得ます。
　　これにより画面入力されたパスワードを盗み取られることが想定されるため固定のパスワードではなく都度異なるパスワードとすることで安全性の維持を図っているものです。
　一方、ATMは専用機であり、少なくとも金融機関の店舗にあるATMはインターネットを使用した通信では無いため安全性が確保されておりワンタイムパスワード方式を用いる必要性が無いとされているものです。
　　なお、セブン銀行などのコンビニATMがどのような回線を用いてどのような通信方式をとっているのかはわかりません。インターネット回線を利用している場合はワンタイムパスワードなどの方式で安全性を維持しているのでしょう。その場合はATMの中に生成装置の部分があって自動的に行っていることになります。一般の金融機関のATMでもインターネットを利用した通信を行う場合は同様の考え方で行けます。センター側は各ATM装置ごとの種を持ち、ATMとセンターの間でワンタイムパスワードを行えば人が入力する必要はなくなります。

参考まで。

この回答へのお礼

早速ありがとうございます。正直アルゴリズムという言葉の概念がよく理解できませんので、貴殿の解説、難しいですね。もう少しじっくり読んで勉強してみます。

お礼日時：2017/10/17 16:41