HOME»情報処理安全確保支援士掲示板»令和2年度秋期 午後2 問2 設問1
投稿する
QRコードが必要なのは、初期設定の時(最初だけ)のみです。
2要素認証ログイン用のワンタイムパスワード生成はログインするタイミングになります。
登録済みのスマホのアプリを起動するとワンタイムパスワードが表示されます。
この仕組みはおそらくGoogle認証システムのことではないかと思います。
利用手順をわかりやすく説明しているサイトが浜銀TTのサイト(PDF)にありますので参照されてはいかがでしょうか。
検索エンジンで "浜銀TT ワンタイム 手順"で検索すると一番目にヒットします。
各端末の初回の設定時のみQRコードが表示されます。
問題文では、スマホアプリ方式を採用していますが、TOTPという技術が
使われています。これは、時間に基づいて生成されるOTPのことです。
実際のOTPは固定値と時刻のハッシュ値から生成されます。時刻だけの
ハッシュ値をとっても同じになってしまうため意味がないからです。
そこで、「固定値+時刻」のハッシュ値をとるわけです。
サーバ側とスマホアプリ側で、事前に「固定値」を共有しておく
必要があるのですが、その固定値を簡単に読み込むためにQRコードが
使われます。問題文にでてきた「初期設定用のQRコード」の正体は
これです。
もし可能なら実物を見てみることをおすすめします。
スマートフォンにマイクロソフトかGoogleのアカウントの
二段階認証アプリをインストールして、アカウント設定から
二段階認証を設定します。そのときに、初期設定用のQRコードが
表示され、それを読み込むことで設定が完了します。
令和2年度秋期 午後2 問2 設問1 [0781]
こつばんさん(No.1)
初受験のために勉強しています。
ご質問です。
標記の問題について、2要素認証としてワンタイムパスワード方式を採用し、スマホアプリ方式にするという点についてですが、初期設定用のQRコードというイメージがつかめません。
社外のネットワークから不正にこの初期設定用のQRコードにアクセスされた場合、ワンタイムパスワードが不正に生成されるということですが、
ワンタイムパスワードを生成するには、都度初期設定用のQRコードが必要なのでしょうか?
あるいは、初期設定用とありますので、最初だけでしょうか?
後者の場合、以降任意のタイミング(ログインのタイミング)でスマホアプリ上でワンタイムパスワードを生成することが可能になるということでしょうか?
よろしくお願いいたします
ご質問です。
標記の問題について、2要素認証としてワンタイムパスワード方式を採用し、スマホアプリ方式にするという点についてですが、初期設定用のQRコードというイメージがつかめません。
社外のネットワークから不正にこの初期設定用のQRコードにアクセスされた場合、ワンタイムパスワードが不正に生成されるということですが、
ワンタイムパスワードを生成するには、都度初期設定用のQRコードが必要なのでしょうか?
あるいは、初期設定用とありますので、最初だけでしょうか?
後者の場合、以降任意のタイミング(ログインのタイミング)でスマホアプリ上でワンタイムパスワードを生成することが可能になるということでしょうか?
よろしくお願いいたします
2022.02.06 11:45
hisashiさん(No.2)
★SC ブロンズマイスター
>ワンタイムパスワードを生成するには、都度初期設定用のQRコードが必要なのでしょうか?
>あるいは、初期設定用とありますので、最初だけでしょうか?
QRコードが必要なのは、初期設定の時(最初だけ)のみです。
2要素認証ログイン用のワンタイムパスワード生成はログインするタイミングになります。
登録済みのスマホのアプリを起動するとワンタイムパスワードが表示されます。
この仕組みはおそらくGoogle認証システムのことではないかと思います。
利用手順をわかりやすく説明しているサイトが浜銀TTのサイト(PDF)にありますので参照されてはいかがでしょうか。
検索エンジンで "浜銀TT ワンタイム 手順"で検索すると一番目にヒットします。
2022.02.06 15:14
双葉さん(No.3)
>ワンタイムパスワードを生成するには、都度初期設定用のQRコードが必要なのでしょうか?
>あるいは、初期設定用とありますので、最初だけでしょうか?
各端末の初回の設定時のみQRコードが表示されます。
問題文では、スマホアプリ方式を採用していますが、TOTPという技術が
使われています。これは、時間に基づいて生成されるOTPのことです。
実際のOTPは固定値と時刻のハッシュ値から生成されます。時刻だけの
ハッシュ値をとっても同じになってしまうため意味がないからです。
そこで、「固定値+時刻」のハッシュ値をとるわけです。
サーバ側とスマホアプリ側で、事前に「固定値」を共有しておく
必要があるのですが、その固定値を簡単に読み込むためにQRコードが
使われます。問題文にでてきた「初期設定用のQRコード」の正体は
これです。
もし可能なら実物を見てみることをおすすめします。
スマートフォンにマイクロソフトかGoogleのアカウントの
二段階認証アプリをインストールして、アカウント設定から
二段階認証を設定します。そのときに、初期設定用のQRコードが
表示され、それを読み込むことで設定が完了します。
2022.02.06 15:22
こつばんさん(No.4)
お二人とも詳しい解説までしていただきありがとうございます!
イメージも具体的につかむことができました。
非常にわかりやすく、助かりました
イメージも具体的につかむことができました。
非常にわかりやすく、助かりました
2022.02.07 23:57