めがけんさまより、セキュリティデバイスの仕組みについてご教授いただきました。
なるほど納得といった感じのメールを頂戴いたしましたので公開させていただきます。
どうやらITの世界ではそんなに珍しいものではないようです。
→関連記事「HSBCパワーバンテージの概略その14 〜セキュリティデバイスをアクティベイトしよう〜」
kzさん こんにちは
セキュリティデバイスの仕組みがどうなっているかという疑問を持っている方が多いように思えますので
私の方から少しコメントを。
ITの世界ではそんなにものめずらしいものではなく、私も6年くらいまえから同じような仕組みを使って
会社のネットワークへアクセスしています。仕組みとしてはいわゆるワンタイムパスワードと呼ばれるものです。
セキュリティデバイスはトークンと呼ばれることが多いようです。
パスワード(乱数)の生成方法にはいくつかあるようですが割りと一般的なものとして、ユーザー固有のPIN Number
(もしくは暗証番号)と時刻の組み合わせから一見ランダムな数字を生成するという方法があります。
一見ランダムに見えるこの数字が実は認証側と共通のアルゴリズムを使って生成される数字です。
HSBCの場合このPIN Numberに該当するのがSerialNumber
なのかも知れません。この数字がワンタイムパスワードとして、
Webや企業のネットワークへログインする際に利用されます。
認証を行う側は、トークンと同じアルゴリズムを用いて、パスワードが
正規のユーザーからのものであるかどうかを確認することができます。
当然、トークンが生成するパスワードは数分ごと(だいたい1分)
ごとに変化するため、パスワードが万が一盗聴もしくは盗み見されたとしても、
有効期間は最大でも1分しかありません。
そしてすべてのパスワードは繰り返し使われることなく使い捨てとなるため、
高い安全性が保持できます。・・・とこんな感じです。