ジャパンネット銀行がハードウェアトークン方式のワンタイムパスワードを採用したと言うことでハードウェアトークンを送ってきた(リンク先に写真あり).これは1分ごとに新しい6桁の数字を表示する.この6桁の数字がいわゆるパスワードに相当するみたい.”Secured by RSA”と書かれているからRSA暗号を使っているのかな.確かにこの方式だとフィッシイング詐欺とか盗聴には有効だろう.ただ,このハードウェアトークンを持ってないといけないのがちょっとめんどくさい.
どうやってこのトークンに内蔵されているタイマとサーバー側のタイマの同期を取るのかなと思っていたら,説明しているページを見つけた.RSA セキュリティ[OPAL] : RSAセキュリティの『SecurID』【第1回】.つまり,最後の認証時に時間のずれ(オフセット)を計算しておくということね.そのずれが大きくなりすぎると(説明では5分以上)同期するためのモード(ネクスト・トークンコード・モード)に変わるらしい.このあたりはジャパンネット銀行のページには説明が無いみたいだけど一緒だろうか?