ワンタイムパスワードには大きく、①S/KEY方式と②時刻同期方式がある。他にもたくさんあるようだが、試験対策としてはこの2つで十分であろう。
過去問(H23NW午後2問2)に時刻同期方式の問題があるので引用する。
社外でTCを使用するときには,トークンを使ったワンタイムパスワード(以下,OTPという)方式の認証でセキュリティを確保する。
(中略)
OTPは,時刻同期方式を利用する。社員に,あらかじめトークンと呼ばれるパスワード生成器を配布する。トークンが生成する数字は1分経過ごとに変化し,一度しか使用できない。本方式では,時刻のずれが発生するので,ずれの許容範囲を設定する。認証サーバは,許容範囲内で認証を試みて,認証できたらトークンとの時刻のずれを推定して記憶し,次回の認証時に,記憶したずれを基に時刻の補正を行う。

設問3〔社外でのTC使用時のセキュリティ対策〕について,(1),(2)に答えよ。
(1) トークンが生成する数字を変化させる時間間隔を長くすると,トークンに表示された数字を正しく入力しても,不正パスワードになるケースが発生することがある。その理由を,20字以内で述べよ。
(2) 本文中の時刻同期方式で,ずれた時刻を認証サーバが推定する方法を,50字以内で述べよ。
OTPのトークンを見たことがある人も多いことだろう。
キーホルダーぐらいの大きさの機器だ。この液晶画面に表示される数字がOTP。
otp

 











時刻同期方式は,現在時刻を基にしてパスワードを作成する。トークンが計算したOTPと,認証サーバが計算したOTPが一致するかで認証を行う。
4

なぜ、時刻同期をするのですか?
「時刻」というのが、唐突な感じで、疑問です。



時刻同期をしなければ,昨日のパスワードでも、1週間前にトークンで作成したパスワードでもログインできる。つまり,ログインできるパスワードが増えるので,不正ログインのリスクが広がるからだ。
5
問題文に、「本方式では,時刻のずれが発生する」とありますね。
時刻同期なので、認証サーバとトークンは時刻の同期をしているのでは?




同期をしていないね。そもそも、両者はつながっていないからさ。
さて、設問の解答例は以下である。
(1)パスワードの再使用となるから
(2)認証できたパスワードが生成された時刻と,パスワードを受信した時刻の差から推測する