SECUREMATRIX マトリクス認証(ワンタイムパスワード)の安全性

パスワードは毎回変わるため、盗まれても安全

「マトリクス認証®」は、ランダムな数字列である「マトリクス表」とマトリクス表上の「位置と順番(=イメージパスワード)」を組み合わせることによりワンタイムパスワードを生成します。ワンタイムパスワードは、毎回変わるため、パスワードが盗まれても、それを使って侵入されることはありません。

最新の業界標準技術による暗号化通信

クライアントとSECUREMATRIXシステム間の通信は、最新の業界標準技術で暗号化されています。通信内容を解読するには、暗号化されたデータを復号する必要がありますが、それは容易なことではありません。

特許技術を用いた「シード方式」

SECUREMATRIXは、サーバーから送信される「マトリクス表」をそのまま通信経路上に流すことはしません。独自の特許技術を用いて「シード」と呼ばれるマトリクス表を生成するためのデータをクライアントに送信し、クライアント側で「マトリクス表」に変換します。また、クライアントで入力されたパスワードも、そのまま通信経路上には流れません。ハッシュ化されたデータのみが経路上に流れます。 従って、万が一SSLによる暗号化通信が解読されたとしても、「マトリクス表」や「パスワード」そのものを、通信経路上から入手することは出来ないため、高い安全性が保たれます。

ワンタイムパスワードを生成する鍵は「記憶」

マトリクス表には、ランダムの64個の数字が表示されます。SECUREMATRIXのパスワードは、このマトリクス表中のセルの位置と順番で構成され、イメージパスワードと呼びます。万が一、悪意のある第三者が「シード(マトリクス表を生成するためのデータ)」から「マトリクス表」を生成出来たとしても、ワンタイムパスワードを生成する鍵は「ユーザーの記憶」のため、パスワードを不正に入手することは不可能です。また、SECUREMATRIXの最短パスワード長は8桁ですが、設定により最長64桁まで設定可能です。イメージパスワードには、マトリクス表の同じ位置を複数含むこともでき、パスワード長が最短の8桁の場合でさえ、組み合わせできるイメージパスワード数は、約280兆通り(64の8乗)と天文学的な数字になります。このため、イメージパスワードが偶然に一致する可能性は極めて低いと言えます。

ワンタイムパスワードを生成する鍵は「記憶」

柔軟なパスワードポリシーで用途に応じたセキュリティレベルを設定

SECUREMATRIXはAUTH SERVERの管理画面から、ユーザーが利用するイメージパスワードに対して適用する下記のポリシーを設定することができます。このポリシーを適用することで、更にセキュリティレベルの高い運用を実施していただくことが可能です。

  • パターンとして登録したマトリクス表の「位置」
  • その位置の数字を入力する「順番」
  • 「固定文字」として利用される英数字や記号
  • パスワード内での固定文字の場所

推測されやすいイメージパスワードはすぐ禁止

推測されやすい簡単なイメージパスワードや、重複頻度が高くなる傾向のイメージパスワードは、デフォルトで利用禁止イメージとして予め登録されております。また、SECUREMATRIXには「パスワードアナライズ」機能が実施されており、社内のユーザーが重複して利用している「イメージパスワード」をランキングで確認することが可能です。この「パスワードアナライズ」機能を利用して、重複頻度が高いイメージパスワードを「利用不可イメージ」として登録し、ユーザーに強制的にパスワード変更を促すことができます。

推測されやすいイメージパスワードはすぐ禁止

パスワードアタックには、アカウントロックで対応

SECUREMATRIXは、パスワードアタック(ブルートフォースアタック)に対応するために「アタックロック(認証失敗回数制限)」機能を実装しています。一定回数の認証失敗が行われた場合には、SECUREMATRIXはそのアカウントをロックし、管理者により解除されない限り、そのアカウントを利用することができなくなります。アカウントロックが行われたユーザーには、SECUREMATRIXがメールでその旨を通知します。これにより、第三者が自分のパスワードを不正に取得しようとしていることが分かるようになっています。

利用状況を把握して、不正の兆候を判断

認証の利用状況を把握することで、不正なアクセスへの兆候を発見できます。SECUREMATRIXの管理画面から、認証成功回数と失敗回数をグラフで確認することができます。失敗回数が増えている場合には、不正アクセスが行われている可能性が考えられます。この場合、管理画面の強制パスワード変更を利用し、次回のユーザー認証時にパスワード変更をユーザーに促し、不正アクセスを未然に防ぐことが可能となります。

PAGE TOP