ワンタイムパスワードの秘密
【1月3日 記】 ワンタイム・パスワードってあるじゃないですか。そう、最近ではスマホあてにパスコードを記したメッセージを送りつけてくるやつが一般的ですよね。
そもそもはオンライン・バンキングで使われたのが初めではないでしょうか。
最近ではオンライン・バンキングでもアプリ経由で表示するものが増えていますが、昔は前方後円墳型のトークンなどという小物を持たされて、そこに表示が出てましたよね。今は前方後円墳型からカード型に変わってきていますが。
いずれにしても、そこに出た数字を打ち込むことによって本人確認が済むわけです。で、これが一体どういう仕組なのかがまるで分からなかったのですが、先日少しヒントがつかめました。
しばらく使っていなかった某銀行の支店から振り込みをしようとして、久しぶりに使うトークンを引っ張り出して表示された数字をインプットしたところ、「しばらく使用していなかったため時刻がずれており、確認ができません」みたいな表示が出ました。
ちょっとうろたえたのですが、そのすぐ横に「時刻の合わせ方」というリンクがあったので、そこに書いてある手順に沿って作業をしたら、どうやら時刻が合ったらしく、2度めのトライで今度は振り込みができました。
そして、その数日後、今度は口座開設以来一度も振り込みをしたことがない某銀行のサイトから振り込もうとして、これまた初めて使うワンタイム・パスワード・カードを引っ張り出してきて、そこに出た数字をインプットしたところ、ここでも同じように「時刻がずれているために振り込みができません」との表示が。
困ったことに、今回はじゃあどうやったら時刻を是正できるのかの手順がどこにも書いていなくて、仕方なく Google で検索すると、同じ銀行のサイト内に書いてあるのが見つかりました。こちらの銀行の場合は、「カードが自動的に時刻を修正しますので、もう一度やり直してください」とあります。
なるほどと思ってやってみたら、こちらは2度めも失敗、しかし3度めで無事に振り込みが完了しました。
で、その細かい手順はどうでも良いのですが、これらの経験を通じて分かったことは、どうやら「同じ時刻に同じ数字を打ち込んだら本人である」との識別法を採っているということです。
もちろん全く同じ時刻に別の人が数字を打ち込む可能性がないわけではありません。また、コンピュータを使って総当りで数字を打ち込んだらそれが一致する可能性がないとも言えません。しかし、その両方がいっぺんに実現する可能性は極めて低いと言えます。
時刻をどの単位まで取っているのかは知りませんが、秒単位まで取っておけば概ね大丈夫でしょう。
そんな、何と言うか雑駁なアルゴリズムで人物を特定していたのかと驚いたのも確かですが、放っておくと時刻がずれてくるという問題をちゃんと予測して事前に対処法を講じてあるところにも驚きました。
物事はあまり難しく考えないほうが良いということかもしれません。
« 模様替えとパートナーシップ | Main | 私の石 »
Comments