チャレンジ&レスポンス認証とは

チャレンジ&レスポンス方式とは主にワンタイムパスワード認証に用いられる方式で、認証サーバーから送られてくるデータ(チャレンジ)を元に、クライアントが持っているパスワードを組み合わせて演算し、ハッシュ値を認証サーバーに「レスポンス」として返すことにより認証を行う方法です。

この方式では実際のパスワードをネットワーク上に流す必要が無い点と認証サーバーから送られてくるチャレンジの内容が毎回異なるので、チャレンジやレスポンスを盗聴されてもセキュリティリスクが非常に少ない点が特徴です。
 

ハッシュ関数とハッシュ値

ハッシュ関数とは与えられたデータから固定長の乱数を生成する演算方法で、ハッシュ関数により生成された値をハッシュ値と呼びます。このハッシュ値は、計算結果から元のデータを推測することができないという特性をもった不可逆な値で、主なハッシュ関数としては 128 ビットのハッシュ値を生成する MD5 や、160 ビットのハッシュ値を生成する SHA-1 などがあります。この MD5 や SHA-1 により求められたハッシュ値は元のデータの大きさに関わらず、必ず固定長の値となります。
 

チャレンジ

認証サーバーが乱数から作り出したデータで、認証時にクライアントへ送信する
 

レスポンス

クライアントがパスワードとチャレンジを組み合わせ、ハッシュ値としてサーバーへ返すデータ
 

ハッシュ値

ハッシュ関数により生成される値で、計算結果から元のデータへ戻すことができない不可逆な値
 

チャレンジ&レスポンス認証の流れ

①クライアントがサーバーへ認証要求を送信
②サーバーが乱数からデータ(チャレンジ)を生成し、クライアントへ送信
③サーバーから送られてきたチャレンジと自身のパスワードからハッシュ値を生成
④生成したハッシュ値(レスポンス)をサーバーへ送信
⑤サーバー側もクライアントと同様に「②」で送信したチャレンジと自身に格納しているクライアントのパスワードからハッシュ値を生成
⑥クライアントから送られてきたハッシュ値とサーバーが生成したハッシュ値を比較し、同一なら接続を許可
 
 

チャレンジ&レスポンス認証の特長

チャレンジ&レスポンス の特長1
「②」 のチャレンジや 「④」 のレスポンスが盗聴されたとしても、 次回認証時にはサーバーは異なるチャレンジを送信する為、生成されるハッシュ値も異なり、 前回のチャレンジからハッシュ値を求めてもログインできません
チャレンジ&レスポンス の特長2
サーバー側は自身が送信したチャレンジとサーバー側に格納してあるPCのパスワード(キー) を利用してハッシュ値を生成する為PC側はパスワードをネットワーク上に送出する必要が無く、 パスワードの漏洩の心配がありません
 

ePass1000NDを利用したチャレンジ&レスポンス認証~構築導入例~

【目的】
・ポータルサイト会員のみに専用サービスを提供する
【条件】
・会員にユーザーIDやパスワードを意識させたくない
・非会員がパスワードを盗聴してもログインさせない
・電子証明書を利用する以外の方法でセキュアに認証を行いたい
 
ePass1000NDならチャレンジ&レスポンス認証のWeb構築を容易に実現!
 
  【ユーザー接続手順】
①Webサイトへログインの試行
②認証時にUSBトークンがPCに接続されているか確認
③USBトークンがPCに接続されていれば、USBトークンを利用してチャレンジ&レスポンス認証を実行
④認証が行えたPCのみ専用サイトへ接続を許可

※この例は一例であり、構築次第でUSBトークンとユーザーIDなどの組み合わせで非会員(USBトークンなし)ログインを実現する事も可能です。詳細は弊社までお問い合わせください。  
ドライバレスUSBトークン ePass1000ND
クライアントへのドライバインストール作業が不要のドライバレスUSB トークンです。
PCに接続するだけで利用でき、チャレンジ&レスポンス認証のみを実現したい場合に最適なソリューションです。
 

チャレンジ&レスポンス機能を利用したソフトウェア「SecureVisit」を利用すれば
既存 Web サイトを改造せず USBトークンによる認証を実現

  「SecureVisit」を利用すれば、既存Web サーバーのコンテンツを変更する必要がなく、容易にUSBトークンを利用した認証方式に移行できます。導入が容易なだけでなく、「SecureVisit」サーバーがWebサーバーとユーザーの間に入ることにより自社Web サーバーへの攻撃も強固に防ぎます。
 
 
「SecureVisit」の詳細はこちら