Blogブログ
2006-9-2 社長blog
Japan Net Bank のワンタイムパスワード
Japan Net Bank がネット利用時の本人確認のためにワンタイムパスワードを発行するトークンを配布しています。先日、私のところにも届きました。以下です。
![JNB トークン](http://www.ferix.jp/blog/wp-content/uploads/2006/09/JBN_%E3%83%AF%E3%83%B3%E3%82%BF%E3%82%A4%E3%83%A0%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E7%99%BA%E8%A1%8C%E7%94%A8%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3.jpg)
ワンタイムパスワードとは、ある時点で一回のみ利用できるパスワードの事です。今回の JNB のシステムでいうと、上記の写真にあるトークンと呼ばれる機器でワンタイムパスワードを発行します。表示されているパスワードは60秒間有効です。有効期間内にサーバへパスワードを送信すれば認証されます。つまり、悪意のある第三者がそのパスワードを横から盗み見ても、そのタイミング以外では利用できないのです。
この JNB のシステムは RSA のものです。認証には3つの要素があります(以下参照)が、それの二つ以上を組み合わせて認証する事を二要素認証と言います。この RSA のシステムは強固な二要素認証として広く認知されています。
[認証の3要素]
・自分だけが知っているもの(パスワード等)
・自分だけが持っているもの(トークン等)
・自分自身(生体認証等)
JNB のシステムでは Net 利用開始時にパスワードログイン(自分だけが知っている)を利用し、更にセキュアな取引を行う時点でワンタイムパスワード(トークンを利用:自分だけが持っている)を利用する事になっています。
これまでも、様々なところで議論が行われていますが、実際に私が手にしたときにまず思った感想は「これは、持ち歩かないな・・・」です。
しかし、私はほとんど銀行を利用しない人間ですからね。参考にはなりません。
それにしても、利用の希望有無も問わずに送付されてくるのですから銀行の意気込みを感じざるを得ませんね。私の銀行利用頻度及び、銀行収益への貢献度を考えたら絶対赤字ですよ。