ワンタイムパスワードとは認証のたびに毎回異なるパスワードを使用する
方式である。
毎回異なるパスワードを使用するため、ある時点の認証プロセスが盗聴されても
(そのパスワードは二度と使用しないため)なりすましによる不正アクセスを受ける
可能性が著しく減少するというメリットがある。
ワンタイムパスワードの実現するための方式
●チャレンジレスポンス方式の脆弱性
認証にあたってサーバの正当性を確認する仕組みがないため
正規のサーバとクライアントの通信経路上に不正なサーバが存在し
それによってセッションをハイジャックされてしまう可能性がある
これを中間者攻撃と呼ぶ。
対策
通信に先立ちディジタル証明書によってクライアントがサーバの正当性を確認する
必要がある
●トークンカード(時刻同期)方式の脆弱性
トークンを所有している人は利用者本人であるという前提のもとセキュリティが
保たれているためトークンの貸し借りを禁止する