ICカードを使ってワンタイムパスワードを生成するシステム「GemAuthenticate」の国内販売が開始されました.
当方の理解する限りでは,何か新しい仕組みというのではなく,既存のワンタイムパスワード生成器よりも,ワンタイムパスワードの生成をより安全にするというのが売りのようです.
仕組みは
1. ユーザはGemPocketというカードリーダ機能付きハードウェアトークンを持ち歩く(店に備え付けてあってもいいのかな? いや,いいわけないよな)
2. 認証の際には,ユーザが持つICチップつきのカード(credit card/社員証等)をGemPocketに差し込み,PINを入力する(PINを入力するの!)
3. ICチップ内に保存してあるユーザ固有のID情報を使ってワンタイムパスワードを生成する
4. そのパスワードを使って,認証を行う
面倒だな...
GemPocketもそれなりの大きさがありそうだし,これなら別にRSA SecurIDでいいじゃん.と多くの人が思うに違いない.One-Time Passwordの発行手続きをICカードとGemPocketの所有,ならびにPINの照合により困難にしているが,それだけのコストを払ってでもセキュリティを強固にする必要のある場面はどんな場面だろう? それだけのコストを払ってでもOne-Time Passwordの発行を厳重に管理する必要のある認証でない限り,これを使うメリットは見つけられないと思ったり.そしてそれがオンラインバンキングというのであれば,それは大富豪が対象だろうか? 安全性は高まったとしても,これではユーザの負担が大きすぎるだろう.ワンタイムパスワードの生成がオフラインで完結するというのが利点のようにも読み取れるが,それはRSA SecurIDでも同じだ.
対応するICカードはEMV(Europay MasterCard Visa)という仕様のものだけらしい.それが日本でどれだけ普及しているかというと,今の時点では日本で出荷(?)されているcredit cardの約2割だそうだ.それ以外のICカードへの対応もするらしいが,普及は難しそうだと思ったり.リーダの価格は個別見積りだそうだが,数百円程度を想定しているらしい.
Posted by z at May 9, 2006 04:04 AM