今回はオープンソースのワンタイムパスワード(OTP)をご紹介します。OTPとは、一度しか使えないパスワード(使い捨てパスワード)でPIN(暗証番号)と組み合わせて使う事から2要素認証と呼ぶ事もあります。一定時間毎に変更されるパスワードを使用する事により、インターネットサービス使用中に万が一 パスワードが盗まれたとしても、一定時間で切り替わり再利用できない為、 不正アクセスなどの被害を防ぐ事ができます。
代表的な製品としてはRSAセキュリティ社のSecurIDや株式会社シー・エス・イーが開発した「SECUREMATRIX」がありますが、ユーザー当たり数千円から1万円以上のコストがかかるため、なかなか普及が進みませんでした。しかし、昨年OTPの基本特許を保有するVeriSign社が、OTPの標準プロトコル(RFC4226)に関するライセンスを開示したため、誰でも無償で利用する事が可能になりました。
今回ご紹介するSecioss OTPは、この技術を利用し携帯アプリに対応した唯一のオープンソース・ワンタイムパスワードです。オープンソースのシングルサインオンソリューションであるOpenSSOにも多要素認証のオプションはありますが、メールでパスワードを送信する方式でしか対応出来ません。
固定パスワードでは心配だが、市販のワンタイムパスワードはコスト的にあきらめていた方は、是非ご検討ください。
コメントを投稿する