パスワード管理システム、方法およびプログラム
【課題】 IDと固定パスワードでログインするシステムを多数利用するユーザにとってパスワードの管理は容易ではなく、また定期的に変更すると覚えるのが大変となり、安全面で問題があった。
【解決手段】 携帯電話端末のメールアドレスをIDとしたログイン要求を受けると、このユーザに予め通知してある位置情報を用いたマトリックス認証を行った後、ワンタイムパスワードを生成して当該ユーザの携帯電話端末に送付し、このパスワードをもって当該ユーザの利用している各種システムのユーザIDとパスワードを一元管理するデータベースへのアクセスが許可される。
【解決手段】 携帯電話端末のメールアドレスをIDとしたログイン要求を受けると、このユーザに予め通知してある位置情報を用いたマトリックス認証を行った後、ワンタイムパスワードを生成して当該ユーザの携帯電話端末に送付し、このパスワードをもって当該ユーザの利用している各種システムのユーザIDとパスワードを一元管理するデータベースへのアクセスが許可される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、各種業務システム用のパスワードをセキュリティ性の高いパスワード管理サーバに登録するようにした電子情報システムのパスワード認証技術に関する。
【背景技術】
【0002】
例えばサーバのシステム等に接続する際には、予め接続を許可された本人以外の不正アクセスを防止すべく本人認証が行われている。この本人認証では、ユーザIDと固定パスワード(固定の任意の文字列)によって認証を行う固定パスワード認証方式が最も広く用いられている。しかしながら、固定パスワード方式では、ユーザがIDとパスワードを覚えておく必要があるため、パスワードとして覚えやすい簡単なものや生年月日など他人に類推されやすいものを用いがちになってしまうという問題があった。他方、パスワードを複雑にすると覚えづらくなり、ユーザが紙にメモを残したり自己のPC端末に格納したりするため他人にパスワードを盗まれる可能性が生じる。このように一般的に利用されている固定パスワード方式は、セキュリティ性が比較的脆弱で、本人になりすましてシステムを不正利用されてしまうことがあった。
【0003】
この問題を解決するものとして、近年では指紋や声紋、網膜等の生体(バイオメトリックス)上方を用いて本人認証を行う方式、磁気カードやICカードを用いて認証を行う方式などが用いられるようになっている。しかしながら、パスワード認証を行うサービスシステムは無数にあり、またこのような認証方式は専用の読み取り装置や既存システムの大幅修正を必要とすることから、総てのシステムがこれらの認証方式を採用することは困難である。
【0004】
パスワード管理に関する従来技術として、複数の業務システムに対する異なるパスワードを管理サーバにて一元管理し、当該管理サーバが各業務システムのログイン画面でパスワードの自動代行入力を行うシステムがある(例えば、特許文献1)。このシステムでは、管理サーバがパスワードの自動代行入力を達成するために各業務システムと連携しており、当該管理サーバの利用時にはユーザIDとパスワードによる本人確認が行われる。
【0005】
また、携帯端末からイントラネットへログインする際に、中継サーバが個人パスワードの認証後にワンタイムパスワードを発行して前記携帯端末に送付し、ユーザはこのワンタイムパスワードと個人パスワードを用いてイントラネットに接続できるようにする方法が開示されている(例えば、特許文献2)。ワンタイムパスワード認証方式は、認証のために1回しか使えない使い捨てパスワードを使用する認証方式であり、一般にトークンと呼ばれる機器を使用してパスワードを生成するものがある。
【0006】
また、毎回異なる文字や図形が碁盤目状に並んだ表を提示して、予めユーザに伝達してある位置の文字等を入力させることによりパスワード認証を行うマトリックス認証方式がある(例えば、特許文献3)。マトリックス認証方式は、トークンを使用しないワンタイムパスワード認証方式の一種で、認証時にサーバ側から乱数表を提示し、乱数表のなかでユーザが記憶している場所にある数字や文字等をパスワードとして使用するものである。場所と絵文字等を組み合わせて表示させることで、ユーザは場所ではなく絵の組み合わせで覚えることができ、ワンタイムパスワードを容易に知ることができる。
【0007】
【特許文献1】特開2000−259566号公報
【特許文献2】特開2002−7355号公報
【特許文献3】特開2004−213117号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、特許文献1のシステムでは、対象となる業務システムにおけるパスワードの自動入力代行を達成するために当該業務システムと連携していることが必要となり、連携していない業務システムで利用することができないという汎用性の問題がある。ユーザIDとパスワードによる認証を行う業務システムは規模の大小を問わず無数にあり、汎用性を高めようとするとこれら総ての業務システムと連携させる必要があり現実的ではない。また、各種業務システムと連携させることを考えると、ユーザが1のシステムで認証を受けるだけで当該システムに関連する各種システムを利用できるようにするシングルサインオン技術の方が簡便となる。このように、特許文献1の発明は汎用性がなく、汎用性を持たせようとすると多大な手間がかかるという問題がある。
【0009】
また、特許文献2に記載のシステムでは、中継サーバが、ユーザIDと任意の固定文字列による個人パスワードによって本人確認を行い、ワンタイムパスワードを発行する。この固定パスワード認証方式はユーザが覚えやすい数字や文字列などを使用すると他人に見破られるおそれがあり、逆にセキュリティ性を高めるために個人パスワードを複雑にすると覚えるのが大変となるという問題がある。また、特許文献3のマトリックス認証方式では、ユーザが覚えることを容易にする反面、知識認証のみのためセキュリティ強度に限界があるという問題がある。
【0010】
本発明は、ユーザが利用しているサービスのIDおよびパスワードをパスワード管理サーバに登録し、この管理サーバへのアクセスをマトリックス認証および通常のワンタイムパスワード認証の組み合わせと携帯電話端末を用いた所有物認証で保護することで、ユーザが覚えることをできるだけ少なくするとともに、セキュリティ性を可能な限り高め、また既存のシステムから完全に独立させて既存システムの変更を不要としたパスワード管理システムおよび方法を提供することを目的とする。
【課題を解決するための手段】
【0011】
本発明は、ユーザが利用する任意のシステムの名称、当該システムを利用するための識別情報およびパスワードが登録されるユーザ情報データベースと、通信ネットワークを介してユーザ端末から前記データベースへのアクセスを受け付ける管理サーバとを備えるパスワード管理システムにおいて、前記管理サーバが、前記ユーザ端末からのアクセスに対し少なくとも2つの異なる方式の本人認証を行ってから前記データベースへのアクセスを許可する認証手段を備えることを最も主要な特徴とする。
【0012】
前記認証手段は、毎回異なる表を生成してユーザ端末に提示し、予めユーザに伝達してある位置に表示された文字等を入力させることによりパスワード認証を行うマトリックス認証部、および/または、前記認証手段またはユーザ端末で生成されるワンタイムパスワードを用いて認証を行うワンタイムパスワード認証部を備えることを特徴とする。
【0013】
この場合にワンタイムパスワード認証部は、ワンタイムパスワードを生成して当該ユーザの登録メールアドレスに送付し、このパスワードと以降に前記ユーザ端末から通知されるパスワードとを照合することによりワンタイムパスワード認証を行うことを特徴とする。
【0014】
また、前記登録メールアドレスは前記ユーザの携帯情報通信端末のメールアドレスであることを特徴とする。
【0015】
また、前記管理サーバは、各ユーザの情報を当該ユーザの携帯型通信端末のメールアドレスに関連づけて管理することを特徴とする。
【発明の効果】
【0016】
少なくとも2つの異なる方式の認証を行ってユーザが利用しているシステムのIDおよびパスワードが登録されたデータベースへのアクセスを許可することとしたため、例えば固定パスワード式の認証のみを行ってアクセス制限を行うシステムに比してセキュリティ性を飛躍的に高めることができる。この場合、知識認証であるマトリックス認証方式を用いるようにすると、ユーザが複雑な文字列等のパスワードを覚える必要がなく、ユーザの負担を軽減することができる。また、マトリックス認証に加えワンタイムパスワードをユーザの携帯端末に送付するようにすると、当該端末の持ち主は当該ユーザしかいないことから、知識認証に加え所有物認証を行って、厳密で安全なパスワード管理を達成することができる。
【0017】
また、管理サーバで各ユーザを識別するIDとして携帯端末のメールアドレスを用いるようにすると、ユーザが新たに管理サーバにおけるユーザIDを覚える必要もなくなり、ユーザが覚えるべきことを極限まで減らして負担を少なくしたパスワード管理システムを提供することができる。
【発明を実施するための最良の形態】
【0018】
本発明を実施するための最良の実施形態について、図面を参照しながら以下に詳細に説明する。
【0019】
図1は、本発明にかかるパスワード管理システムの構成を示す概略図である。図1を参照すると、本発明の一実施例では、ユーザが管理するPC端末11および携帯端末12と、当該ユーザのパスワードの管理を行うパスワード管理サーバ3とが通信ネットワーク5を介して相互接続されている。PC端末11は、表示画面やキーボード、マウス等の入力手段を備えるパーソナルコンピュータであり、パスワード管理サーバ3にアクセスすると提示されるIDやパスワードの入力画面やマトリックス認証用の乱数表を表示するブラウザ手段を備え、また画面上の入力欄にIDやパスワード等を入力して管理サーバ3に送信する通信機能を備えている。携帯端末12は、例えば電子メール機能付きの携帯電話機であり、端末毎に一意のメールアドレスが与えられており、パスワード管理サーバ3からの電子メールを受け取って内容を画面に表示する機能を有する。ただし携帯端末12は携帯電話機に限らず、管理サーバ3からのメールを受け取って画面表示できるものであれば、PDAやページャ等の他の通信端末でもよい。また、後述するように、別の実施例ではPC端末11が携帯端末12を兼ねるようにしてもよい。
【0020】
パスワード管理サーバ3は、例えばワークステーション型のウェブサーバであり、認証部31と、データ処理部32と、パスワード発行部33とを備えている。実際にはこれらの要素は管理サーバ3上で動作するパスワード管理プログラム(図示せず)の機能モジュールであり、管理サーバ3の補助記憶装置に格納されたパスワード管理プログラムが主記憶装置に展開されCPUで実行されることにより具現化される。
【0021】
また、管理サーバ3は、ユーザ情報データベース4を備えている。このデータベース4の内容イメージの例を図2に示す。図2に示すように、ユーザ情報データベース4には、携帯端末12のメールアドレスをユーザ毎のIDとして、パスワード生成情報とシステムリストを含むユーザ情報が登録されている。パスワード生成情報とは、マトリックス認証用の乱数表の位置データとワンタイムパスワード生成用のシード(数値データ)であり、これらはユーザ毎に固有の情報となる。また、システムリストとは、そのユーザが利用している任意のシステム情報のことをいい、システム名称と、そのシステムで使用しているユーザIDとパスワードから構成される。この場合のシステム名称はユーザ単位で一意の文字列となる。
【0022】
管理サーバ3の認証部31は、ユーザのPC端末11からのログイン要求を受けると、まずマトリックス認証方式による仮ログイン処理を実行する。この処理で認証部31は、ログイン要求に含まれるID(すなわち、当該ユーザの所有する携帯端末12のメールアドレス)がユーザ情報データベース4に登録されているかを確認し、登録されている場合にパスワード発行部33が生成した乱数表をPC端末11に提示するとともに、データベース4に登録されているユーザのマトリックス認証用位置データを用いてマトリックス認証用のパスワードを導き、ユーザのPC端末11から返信されるパスワードとの照合を行う。そして、パスワードが一致した場合には本ログイン処理に移行し、当該ユーザのワンタイムパスワード生成用シードをパスワード発行部33に渡し、パスワード発行部33が発行したワンタイムパスワードをユーザの携帯メールアドレスに送付する。その後、ユーザのPC端末11から送付されるパスワードと先ほどメール配信したワンタイムパスワードとを比較し、一致した場合にデータベース4へのアクセスを許可する。
【0023】
データ処理部32は、認証部31によりアクセスを許可されたユーザの要求に応じて、ユーザ情報データベース4に対しユーザ登録リストの登録、参照、更新、削除等の処理を行う。
【0024】
パスワード発行部33は、ユーザの新規登録時に当該ユーザについてのパスワード生成情報を生成し、ユーザのログイン時にマトリックス認証に用いる乱数表を作成するとともに、当該ユーザのワンタイムパスワード生成用シードと時刻とを用いてワンタイムパスワードを生成する。なお、マトリックス認証用の乱数表とワンタイムパスワードの生成法および照合については従来技術と同じでありその詳細な説明は省略する。また、パスワード管理サーバ3は上記の要素の他、例えばログイン画面などを格納する記憶領域等、その動作に必要な様々な要素を備えるものとする。
【0025】
図3以降を用いて、上記実施例の動作にかかるパスワード管理方法について説明する。図3は、本システムにおけるユーザの登録処理を説明するための図である。初回登録時、ユーザがPC端末11からネットワーク5を介して管理サーバ3にアクセスすると、メールアドレスの入力欄が設けられた登録画面が提示される。ユーザはこの画面上で自己の所有する携帯端末12のメールアドレスAを入力し、HTML画面上の登録ボタンを押下する等の方法により管理サーバ3へ情報を送信する(ステップA1)。この携帯端末12のメールアドレスはユーザ毎に一意のものであるためユーザを識別するIDとして利用できるとともに、ユーザが新たに任意のIDを設定する等して新たな情報を覚える必要を省くことができる。
【0026】
ユーザの携帯メールアドレスAを受けたデータ処理部32は、パスワード発行部33にパスワード生成情報の新規作成を要求する(ステップA2)。これを受けてパスワード発行部33が、マトリックス認証用の乱数表の位置データと、ワンタイムパスワード生成用のシード(数値データ)を作成する(ステップA3)。ここで、マトリックス認証用の位置データは、例えば縦3列×横3行の乱数表の場合「縦1横1」、「縦2横2」、「縦3横3」などや、「左上からV字型」といったものとなる。ここで生成されたマトリックス認証用の位置データはユーザのPC端末11または携帯端末12に送信され、ユーザが本システムの利用にあたり唯一新規に覚えるべきものとなる。
【0027】
その後、データ処理部32は、マトリックス認証用の位置データとワンタイムパスワード生成用のシードとをパスワード生成情報Aとして、ユーザのメールアドレスAとともにデータベース4に格納する(ステップA4)。このようにしてユーザ登録を行った後、ユーザは現在利用しているシステム名と、そのシステムで使用しているユーザIDとパスワードをセットで登録していく(ステップA5〜A6)。図3に示す例では、このユーザは現在2つのシステムを利用しており、システムX1ではユーザIDにUserA1、パスワードにPassA1、システムX2ではユーザIDにUserA2、パスワードにPassA2を登録している。このシステムリストはシステム毎にシステム名とユーザIDとパスワードとの入力欄を設けた登録画面をPC端末11に提示してユーザが入力した情報を登録するものとし、またレコード数(すなわち、システム数)はユーザが利用しているシステム数に合わせて増やすことができ、さらに登録後にシステムリストを呼び出して適宜修正、削除、新規登録をすることが可能とする。管理サーバ3にIDとパスワードを登録したら、ユーザは最早そのIDやパスワードを記憶から消去しても構わない。
【0028】
次に、図4〜図5を用いてユーザが登録したパスワード情報を利用する場合の処理を説明する。ユーザがIDとパスワードを用いるシステムを利用しようとする場合、管理サーバ3へアクセスして当該システムに対するIDとパスワードを確認する必要がある。ユーザがPC端末1から管理サーバ3へログイン要求を行うと、認証部31はメールアドレス入力欄が設けられた仮ログイン画面を提示し、ユーザはここに携帯端末12のメールアドレスAを入力する(ステップB1)。認証部31はユーザ情報データベース4を参照して、メールアドレスAが登録されていることを確認し(ステップB2)、登録されていれば当該ユーザのパスワード生成情報Aを取得する(ステップB3)。メールアドレスAが登録されていなければPC端末11にエラーメッセージを返信する。
【0029】
次に、認証部31はパスワード発行部33にマトリックス認証用の乱数表を要求し(ステップB4)、これに応じてパスワード発行部33が生成した乱数表をPC端末11に提示する(ステップB5〜B6)。ユーザは提示された乱数表と記憶している位置情報を基にパスワードを導き、PC端末11に入力して管理サーバ3へ送信する(ステップB7)。認証部31では、受信したパスワードと乱数表、パスワード生成情報Aから導かれるパスワードを比較し、一致した場合にマトリックス認証の成功とする(ステップB8)。パスワードが一致しない場合はPC端末11にエラーメッセージを送信し、パスワードの再入力を促す。この再入力は回数制限を設けて不正アクセスを効果的に防止するようにしてもよい。
【0030】
このようにして仮ログイン処理を行うと、最初に携帯端末12のメールアドレスをユーザIDとしているため、ユーザは新たに任意のIDを覚える必要が無く、ユーザの手間や労力を省くことができる。また、予めユーザに伝えてある位置情報と、その都度作成される乱数表とから導かれるパスワードによりマトリックス認証を行うようにしたため高度なセキュリティ性を実現することができる。
【0031】
次に認証部31は図5に示す本ログイン処理へと移行する。この処理では、認証部31はパスワード発行部33にユーザのパスワード生成情報Aを通知し、ワンタイムパスワードを要求する(ステップC1)。パスワード発行部33では、パスワード生成情報Aに含まれるシード(数値情報)と現在時刻とを基にワンタイムパスワードを生成し、認証部31に渡す(ステップC2)。認証部31は、作成されたワンタイムパスワードを記載した電子メールを作成し、当該ユーザの携帯端末12のメールアドレスを宛先としてネットワーク送出する(ステップC3)。ここで、ユーザの携帯端末12のメールアドレスは当該ユーザのIDであり、メール送付処理を簡単且つ迅速に行うことができる。また、本実施例では管理サーバ3と現に通信を行っているPC端末11ではなくユーザが別途携帯している携帯端末12にパスワードを送付するため、確実に当該ユーザのみを受取人としたパスワード通知メールを送ることができる。
【0032】
ユーザは携帯端末12に表示されるパスワードをPC端末11に入力し、管理サーバ3に送信する(ステップC4)。管理サーバ3の認証部31がこのパスワードの比較を行い、パスワードが一致した場合にはワンタイムパスワードの認証成功とする。パスワードが不一致の場合は上記と同様に再入力を促し、所定回数パスワードが一致しない場合はデータベース4へのアクセスを不許可とする。
【0033】
次に、図6を用いて、認証成功した場合のリスト操作について説明する。上記のマトリックス認証およびワンタイムパスワード認証が成功した場合、管理サーバ3はPC端末11に操作画面を提示する。この操作画面では少なくとも「リスト登録」、「リスト参照」、「リスト更新」、「リスト削除」の操作メニューが提示され、ユーザはいずれかを選択することにより自己のシステムリストの参照や更新を行うことができる。すなわち、図6の表に示すように、リスト登録はユーザが新規に固定パスワード認証方式のシステムを利用することとなった場合にデータベース4に登録するための操作であり、システム名、ユーザID、パスワードの入力画面が提示され、ここへの入力情報がデータベース4に追加登録される。このシステム名にはユーザがまだ登録していない任意のシステム名を使用し、データ受領時にデータ処理部32は既に登録されたシステム名と重複しないかのチェックを行って、システム名が重複する場合にはユーザに再入力を促す。ユーザIDとパスワードは他のシステムと重複していても問題はない。図6に示す例では、ユーザが新たにシステムX3を利用することとなり、当該システムX3で利用するユーザIDにUserA3、パスワードにPassA3を新規に追加する例を示す。
【0034】
また、リスト参照が選択されると、管理サーバ3は現在登録されているシステム名の一覧をPC端末11に提示し、ユーザが選択したシステムに対応するユーザIDとパスワードをPC端末11に表示する。例えばユーザがシステムX1を選択した場合には、ID「UserA1」とパスワード「PassA1」が表示される。ユーザはこれを見てPC端末11からシステムX1にアクセスし、ID「UserA1」とパスワード「PassA1」を入力することにより当該システムを利用することが可能となる。また、他の実施例では、システム名の一覧とともにユーザIDの入力欄を設けた選択画面を提示するようにしてもよい。この場合、ユーザはシステム名の選択とともに覚えているIDを入力すると、このシステムを利用するためのパスワードのみが表示されるよう構成する。これにより、ユーザIDとパスワードが一度に表示された画面を盗み見られて不正利用されるリスクを低減させることができる。
【0035】
また、リスト更新は、例えばユーザが既に登録したシステムのパスワード変更を行った場合に管理サーバ3の登録情報を変更するためのものであり、システム名の一覧を提示して、ユーザが選択したシステムに対応するユーザIDとパスワードの更新画面をPC端末11に表示させる。ユーザはこの画面上で必要な更新を行い、最後に登録ボタンの押下等により変更された情報をデータベース4に反映させる。また、リスト削除では、システム名の一覧を提示して、ユーザが選択したシステムのレコードをすべて削除する。例えば図6に示す例において、ユーザがシステムX3の削除を選択した場合には当該システムのシステム名、ユーザID、パスワードがすべて削除される。
【0036】
以上に本発明の一実施例を詳細に説明したが、本発明は上記実施例に限るものではなく、他の様々な実施例として実現することができる。例えば上記実施例では管理サーバ3へのログイン時にマトリックス方式とワンタイムパスワード方式を用いて認証を行っているが、これらに代えて他の公知あるいはこれから実用化される未知の認証方法を適用してもよい。また、上記実施例ではユーザがPC端末11と携帯端末12を使用しており、管理サーバ3へのアクセスはPC端末11で行い、ワンタイムパスワードの受領は携帯端末12で行っているが、これはいずれか一方が他方を兼ねるようにしてもよい。すなわち、ワンタイムパスワードをユーザのPC端末12のメールアドレスに送付する構成としてもよいし、ユーザが携帯端末12から管理サーバ3にアクセスしてデータベース4を参照する構成としてもよい。
【0037】
また、パスワード管理サーバ3のパスワード発行部33を利用して、ユーザが利用するシステムのパスワード作成処理を行わせるようにしてもよい。例えばユーザが新規システムを利用する場合はパスワードを設定する必要があり、また利用中のシステムでも所定期間が経過した場合はパスワードの再設定を行うことが好ましい。この場合にユーザが考える文字列は安易なものとなりがちであるため、「リスト登録」または「リスト更新」の操作画面に「パスワード自動生成」ボタンを設けておき、当該ボタンの押下によりパスワード発行部33がランダムなパスワードを生成してユーザに提示するとともにシステムリストのパスワード欄に登録する。ユーザはここで決定されたパスワードを新規に利用するシステムに登録する。これにより、パスワードを容易に想像できないものとしてセキュリティ性を向上させることができる。また、パスワードが覚えづらいものとなっても管理サーバ3に登録されているため、適宜参照して利用することができる。なお、この場合はパスワード自動生成時に文字数や使用文字の制限を指定できるようにして、パスワード発行部33はこの指定情報を基にパスワードを作成するようにする。
【0038】
以上説明したように、本発明のシステムでは、ユーザが現在利用している既存システムとは完全に独立させてパスワード管理を行っているため、既存のシステムに一切の変更を加えることなくパスワード管理を容易に行うことができる。また、マトリックス認証用の位置情報だけ覚えておけば、利用している複数のシステムのIDやパスワードを覚える必要がなく、ユーザの労力を低減することができる。また、管理サーバ3に登録しておけば記憶に頼る必要がないため、各種システムのパスワードを意味を持たない複雑なパスワードとしたり、定期的に変更することへの躊躇をなくしてセキュリティ性を向上させることができる。さらに、知識認証であるマトリックス認証と、所有物認証であるワンタイムパスワードの携帯メール送信とを組み合わせて利用しているため、安全で厳密なパスワード管理を行うことができる。さらに、本ログインを携帯メールへ送信するワンタイムパスワードで行うようにしたため、以降に何らかの情報が漏れても不正アクセスの危険を殆どなくすことができる。
【産業上の利用可能性】
【0039】
本発明に係るパスワード管理システム、方法およびプログラムは、知識認証であるマトリックス認証と、所有物認証であるワンタイムパスワードの携帯メール送信とを組み合わせて複数のシステムのIDとパスワードを一元管理するものであり、例えばインターネットを介した電子業務システムを利用するコンピュータ産業に好適に利用することができる。
【図面の簡単な説明】
【0040】
【図1】本発明の実施形態に係るパスワード管理システムの概略構成を示す図である。
【図2】ユーザ情報データベースの登録内容を示すイメージ図である。
【図3】本願システムにおけるユーザ登録処理手順を説明するための図である。
【図4】本願システムにおける仮ログイン処理手順を説明するための図である。
【図5】本願システムにおける本ログイン処理手順を説明するための図である。
【図6】本願システムにおけるデータベース操作手順を説明するための図である。
【符号の説明】
【0041】
3 パスワード管理サーバ
4 ユーザ情報データベース
5 通信ネットワーク
11 PC端末
12 携帯端末
31 認証部
32 データ処理部
33 パスワード発行部
【技術分野】
【0001】
本発明は、各種業務システム用のパスワードをセキュリティ性の高いパスワード管理サーバに登録するようにした電子情報システムのパスワード認証技術に関する。
【背景技術】
【0002】
例えばサーバのシステム等に接続する際には、予め接続を許可された本人以外の不正アクセスを防止すべく本人認証が行われている。この本人認証では、ユーザIDと固定パスワード(固定の任意の文字列)によって認証を行う固定パスワード認証方式が最も広く用いられている。しかしながら、固定パスワード方式では、ユーザがIDとパスワードを覚えておく必要があるため、パスワードとして覚えやすい簡単なものや生年月日など他人に類推されやすいものを用いがちになってしまうという問題があった。他方、パスワードを複雑にすると覚えづらくなり、ユーザが紙にメモを残したり自己のPC端末に格納したりするため他人にパスワードを盗まれる可能性が生じる。このように一般的に利用されている固定パスワード方式は、セキュリティ性が比較的脆弱で、本人になりすましてシステムを不正利用されてしまうことがあった。
【0003】
この問題を解決するものとして、近年では指紋や声紋、網膜等の生体(バイオメトリックス)上方を用いて本人認証を行う方式、磁気カードやICカードを用いて認証を行う方式などが用いられるようになっている。しかしながら、パスワード認証を行うサービスシステムは無数にあり、またこのような認証方式は専用の読み取り装置や既存システムの大幅修正を必要とすることから、総てのシステムがこれらの認証方式を採用することは困難である。
【0004】
パスワード管理に関する従来技術として、複数の業務システムに対する異なるパスワードを管理サーバにて一元管理し、当該管理サーバが各業務システムのログイン画面でパスワードの自動代行入力を行うシステムがある(例えば、特許文献1)。このシステムでは、管理サーバがパスワードの自動代行入力を達成するために各業務システムと連携しており、当該管理サーバの利用時にはユーザIDとパスワードによる本人確認が行われる。
【0005】
また、携帯端末からイントラネットへログインする際に、中継サーバが個人パスワードの認証後にワンタイムパスワードを発行して前記携帯端末に送付し、ユーザはこのワンタイムパスワードと個人パスワードを用いてイントラネットに接続できるようにする方法が開示されている(例えば、特許文献2)。ワンタイムパスワード認証方式は、認証のために1回しか使えない使い捨てパスワードを使用する認証方式であり、一般にトークンと呼ばれる機器を使用してパスワードを生成するものがある。
【0006】
また、毎回異なる文字や図形が碁盤目状に並んだ表を提示して、予めユーザに伝達してある位置の文字等を入力させることによりパスワード認証を行うマトリックス認証方式がある(例えば、特許文献3)。マトリックス認証方式は、トークンを使用しないワンタイムパスワード認証方式の一種で、認証時にサーバ側から乱数表を提示し、乱数表のなかでユーザが記憶している場所にある数字や文字等をパスワードとして使用するものである。場所と絵文字等を組み合わせて表示させることで、ユーザは場所ではなく絵の組み合わせで覚えることができ、ワンタイムパスワードを容易に知ることができる。
【0007】
【特許文献1】特開2000−259566号公報
【特許文献2】特開2002−7355号公報
【特許文献3】特開2004−213117号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、特許文献1のシステムでは、対象となる業務システムにおけるパスワードの自動入力代行を達成するために当該業務システムと連携していることが必要となり、連携していない業務システムで利用することができないという汎用性の問題がある。ユーザIDとパスワードによる認証を行う業務システムは規模の大小を問わず無数にあり、汎用性を高めようとするとこれら総ての業務システムと連携させる必要があり現実的ではない。また、各種業務システムと連携させることを考えると、ユーザが1のシステムで認証を受けるだけで当該システムに関連する各種システムを利用できるようにするシングルサインオン技術の方が簡便となる。このように、特許文献1の発明は汎用性がなく、汎用性を持たせようとすると多大な手間がかかるという問題がある。
【0009】
また、特許文献2に記載のシステムでは、中継サーバが、ユーザIDと任意の固定文字列による個人パスワードによって本人確認を行い、ワンタイムパスワードを発行する。この固定パスワード認証方式はユーザが覚えやすい数字や文字列などを使用すると他人に見破られるおそれがあり、逆にセキュリティ性を高めるために個人パスワードを複雑にすると覚えるのが大変となるという問題がある。また、特許文献3のマトリックス認証方式では、ユーザが覚えることを容易にする反面、知識認証のみのためセキュリティ強度に限界があるという問題がある。
【0010】
本発明は、ユーザが利用しているサービスのIDおよびパスワードをパスワード管理サーバに登録し、この管理サーバへのアクセスをマトリックス認証および通常のワンタイムパスワード認証の組み合わせと携帯電話端末を用いた所有物認証で保護することで、ユーザが覚えることをできるだけ少なくするとともに、セキュリティ性を可能な限り高め、また既存のシステムから完全に独立させて既存システムの変更を不要としたパスワード管理システムおよび方法を提供することを目的とする。
【課題を解決するための手段】
【0011】
本発明は、ユーザが利用する任意のシステムの名称、当該システムを利用するための識別情報およびパスワードが登録されるユーザ情報データベースと、通信ネットワークを介してユーザ端末から前記データベースへのアクセスを受け付ける管理サーバとを備えるパスワード管理システムにおいて、前記管理サーバが、前記ユーザ端末からのアクセスに対し少なくとも2つの異なる方式の本人認証を行ってから前記データベースへのアクセスを許可する認証手段を備えることを最も主要な特徴とする。
【0012】
前記認証手段は、毎回異なる表を生成してユーザ端末に提示し、予めユーザに伝達してある位置に表示された文字等を入力させることによりパスワード認証を行うマトリックス認証部、および/または、前記認証手段またはユーザ端末で生成されるワンタイムパスワードを用いて認証を行うワンタイムパスワード認証部を備えることを特徴とする。
【0013】
この場合にワンタイムパスワード認証部は、ワンタイムパスワードを生成して当該ユーザの登録メールアドレスに送付し、このパスワードと以降に前記ユーザ端末から通知されるパスワードとを照合することによりワンタイムパスワード認証を行うことを特徴とする。
【0014】
また、前記登録メールアドレスは前記ユーザの携帯情報通信端末のメールアドレスであることを特徴とする。
【0015】
また、前記管理サーバは、各ユーザの情報を当該ユーザの携帯型通信端末のメールアドレスに関連づけて管理することを特徴とする。
【発明の効果】
【0016】
少なくとも2つの異なる方式の認証を行ってユーザが利用しているシステムのIDおよびパスワードが登録されたデータベースへのアクセスを許可することとしたため、例えば固定パスワード式の認証のみを行ってアクセス制限を行うシステムに比してセキュリティ性を飛躍的に高めることができる。この場合、知識認証であるマトリックス認証方式を用いるようにすると、ユーザが複雑な文字列等のパスワードを覚える必要がなく、ユーザの負担を軽減することができる。また、マトリックス認証に加えワンタイムパスワードをユーザの携帯端末に送付するようにすると、当該端末の持ち主は当該ユーザしかいないことから、知識認証に加え所有物認証を行って、厳密で安全なパスワード管理を達成することができる。
【0017】
また、管理サーバで各ユーザを識別するIDとして携帯端末のメールアドレスを用いるようにすると、ユーザが新たに管理サーバにおけるユーザIDを覚える必要もなくなり、ユーザが覚えるべきことを極限まで減らして負担を少なくしたパスワード管理システムを提供することができる。
【発明を実施するための最良の形態】
【0018】
本発明を実施するための最良の実施形態について、図面を参照しながら以下に詳細に説明する。
【0019】
図1は、本発明にかかるパスワード管理システムの構成を示す概略図である。図1を参照すると、本発明の一実施例では、ユーザが管理するPC端末11および携帯端末12と、当該ユーザのパスワードの管理を行うパスワード管理サーバ3とが通信ネットワーク5を介して相互接続されている。PC端末11は、表示画面やキーボード、マウス等の入力手段を備えるパーソナルコンピュータであり、パスワード管理サーバ3にアクセスすると提示されるIDやパスワードの入力画面やマトリックス認証用の乱数表を表示するブラウザ手段を備え、また画面上の入力欄にIDやパスワード等を入力して管理サーバ3に送信する通信機能を備えている。携帯端末12は、例えば電子メール機能付きの携帯電話機であり、端末毎に一意のメールアドレスが与えられており、パスワード管理サーバ3からの電子メールを受け取って内容を画面に表示する機能を有する。ただし携帯端末12は携帯電話機に限らず、管理サーバ3からのメールを受け取って画面表示できるものであれば、PDAやページャ等の他の通信端末でもよい。また、後述するように、別の実施例ではPC端末11が携帯端末12を兼ねるようにしてもよい。
【0020】
パスワード管理サーバ3は、例えばワークステーション型のウェブサーバであり、認証部31と、データ処理部32と、パスワード発行部33とを備えている。実際にはこれらの要素は管理サーバ3上で動作するパスワード管理プログラム(図示せず)の機能モジュールであり、管理サーバ3の補助記憶装置に格納されたパスワード管理プログラムが主記憶装置に展開されCPUで実行されることにより具現化される。
【0021】
また、管理サーバ3は、ユーザ情報データベース4を備えている。このデータベース4の内容イメージの例を図2に示す。図2に示すように、ユーザ情報データベース4には、携帯端末12のメールアドレスをユーザ毎のIDとして、パスワード生成情報とシステムリストを含むユーザ情報が登録されている。パスワード生成情報とは、マトリックス認証用の乱数表の位置データとワンタイムパスワード生成用のシード(数値データ)であり、これらはユーザ毎に固有の情報となる。また、システムリストとは、そのユーザが利用している任意のシステム情報のことをいい、システム名称と、そのシステムで使用しているユーザIDとパスワードから構成される。この場合のシステム名称はユーザ単位で一意の文字列となる。
【0022】
管理サーバ3の認証部31は、ユーザのPC端末11からのログイン要求を受けると、まずマトリックス認証方式による仮ログイン処理を実行する。この処理で認証部31は、ログイン要求に含まれるID(すなわち、当該ユーザの所有する携帯端末12のメールアドレス)がユーザ情報データベース4に登録されているかを確認し、登録されている場合にパスワード発行部33が生成した乱数表をPC端末11に提示するとともに、データベース4に登録されているユーザのマトリックス認証用位置データを用いてマトリックス認証用のパスワードを導き、ユーザのPC端末11から返信されるパスワードとの照合を行う。そして、パスワードが一致した場合には本ログイン処理に移行し、当該ユーザのワンタイムパスワード生成用シードをパスワード発行部33に渡し、パスワード発行部33が発行したワンタイムパスワードをユーザの携帯メールアドレスに送付する。その後、ユーザのPC端末11から送付されるパスワードと先ほどメール配信したワンタイムパスワードとを比較し、一致した場合にデータベース4へのアクセスを許可する。
【0023】
データ処理部32は、認証部31によりアクセスを許可されたユーザの要求に応じて、ユーザ情報データベース4に対しユーザ登録リストの登録、参照、更新、削除等の処理を行う。
【0024】
パスワード発行部33は、ユーザの新規登録時に当該ユーザについてのパスワード生成情報を生成し、ユーザのログイン時にマトリックス認証に用いる乱数表を作成するとともに、当該ユーザのワンタイムパスワード生成用シードと時刻とを用いてワンタイムパスワードを生成する。なお、マトリックス認証用の乱数表とワンタイムパスワードの生成法および照合については従来技術と同じでありその詳細な説明は省略する。また、パスワード管理サーバ3は上記の要素の他、例えばログイン画面などを格納する記憶領域等、その動作に必要な様々な要素を備えるものとする。
【0025】
図3以降を用いて、上記実施例の動作にかかるパスワード管理方法について説明する。図3は、本システムにおけるユーザの登録処理を説明するための図である。初回登録時、ユーザがPC端末11からネットワーク5を介して管理サーバ3にアクセスすると、メールアドレスの入力欄が設けられた登録画面が提示される。ユーザはこの画面上で自己の所有する携帯端末12のメールアドレスAを入力し、HTML画面上の登録ボタンを押下する等の方法により管理サーバ3へ情報を送信する(ステップA1)。この携帯端末12のメールアドレスはユーザ毎に一意のものであるためユーザを識別するIDとして利用できるとともに、ユーザが新たに任意のIDを設定する等して新たな情報を覚える必要を省くことができる。
【0026】
ユーザの携帯メールアドレスAを受けたデータ処理部32は、パスワード発行部33にパスワード生成情報の新規作成を要求する(ステップA2)。これを受けてパスワード発行部33が、マトリックス認証用の乱数表の位置データと、ワンタイムパスワード生成用のシード(数値データ)を作成する(ステップA3)。ここで、マトリックス認証用の位置データは、例えば縦3列×横3行の乱数表の場合「縦1横1」、「縦2横2」、「縦3横3」などや、「左上からV字型」といったものとなる。ここで生成されたマトリックス認証用の位置データはユーザのPC端末11または携帯端末12に送信され、ユーザが本システムの利用にあたり唯一新規に覚えるべきものとなる。
【0027】
その後、データ処理部32は、マトリックス認証用の位置データとワンタイムパスワード生成用のシードとをパスワード生成情報Aとして、ユーザのメールアドレスAとともにデータベース4に格納する(ステップA4)。このようにしてユーザ登録を行った後、ユーザは現在利用しているシステム名と、そのシステムで使用しているユーザIDとパスワードをセットで登録していく(ステップA5〜A6)。図3に示す例では、このユーザは現在2つのシステムを利用しており、システムX1ではユーザIDにUserA1、パスワードにPassA1、システムX2ではユーザIDにUserA2、パスワードにPassA2を登録している。このシステムリストはシステム毎にシステム名とユーザIDとパスワードとの入力欄を設けた登録画面をPC端末11に提示してユーザが入力した情報を登録するものとし、またレコード数(すなわち、システム数)はユーザが利用しているシステム数に合わせて増やすことができ、さらに登録後にシステムリストを呼び出して適宜修正、削除、新規登録をすることが可能とする。管理サーバ3にIDとパスワードを登録したら、ユーザは最早そのIDやパスワードを記憶から消去しても構わない。
【0028】
次に、図4〜図5を用いてユーザが登録したパスワード情報を利用する場合の処理を説明する。ユーザがIDとパスワードを用いるシステムを利用しようとする場合、管理サーバ3へアクセスして当該システムに対するIDとパスワードを確認する必要がある。ユーザがPC端末1から管理サーバ3へログイン要求を行うと、認証部31はメールアドレス入力欄が設けられた仮ログイン画面を提示し、ユーザはここに携帯端末12のメールアドレスAを入力する(ステップB1)。認証部31はユーザ情報データベース4を参照して、メールアドレスAが登録されていることを確認し(ステップB2)、登録されていれば当該ユーザのパスワード生成情報Aを取得する(ステップB3)。メールアドレスAが登録されていなければPC端末11にエラーメッセージを返信する。
【0029】
次に、認証部31はパスワード発行部33にマトリックス認証用の乱数表を要求し(ステップB4)、これに応じてパスワード発行部33が生成した乱数表をPC端末11に提示する(ステップB5〜B6)。ユーザは提示された乱数表と記憶している位置情報を基にパスワードを導き、PC端末11に入力して管理サーバ3へ送信する(ステップB7)。認証部31では、受信したパスワードと乱数表、パスワード生成情報Aから導かれるパスワードを比較し、一致した場合にマトリックス認証の成功とする(ステップB8)。パスワードが一致しない場合はPC端末11にエラーメッセージを送信し、パスワードの再入力を促す。この再入力は回数制限を設けて不正アクセスを効果的に防止するようにしてもよい。
【0030】
このようにして仮ログイン処理を行うと、最初に携帯端末12のメールアドレスをユーザIDとしているため、ユーザは新たに任意のIDを覚える必要が無く、ユーザの手間や労力を省くことができる。また、予めユーザに伝えてある位置情報と、その都度作成される乱数表とから導かれるパスワードによりマトリックス認証を行うようにしたため高度なセキュリティ性を実現することができる。
【0031】
次に認証部31は図5に示す本ログイン処理へと移行する。この処理では、認証部31はパスワード発行部33にユーザのパスワード生成情報Aを通知し、ワンタイムパスワードを要求する(ステップC1)。パスワード発行部33では、パスワード生成情報Aに含まれるシード(数値情報)と現在時刻とを基にワンタイムパスワードを生成し、認証部31に渡す(ステップC2)。認証部31は、作成されたワンタイムパスワードを記載した電子メールを作成し、当該ユーザの携帯端末12のメールアドレスを宛先としてネットワーク送出する(ステップC3)。ここで、ユーザの携帯端末12のメールアドレスは当該ユーザのIDであり、メール送付処理を簡単且つ迅速に行うことができる。また、本実施例では管理サーバ3と現に通信を行っているPC端末11ではなくユーザが別途携帯している携帯端末12にパスワードを送付するため、確実に当該ユーザのみを受取人としたパスワード通知メールを送ることができる。
【0032】
ユーザは携帯端末12に表示されるパスワードをPC端末11に入力し、管理サーバ3に送信する(ステップC4)。管理サーバ3の認証部31がこのパスワードの比較を行い、パスワードが一致した場合にはワンタイムパスワードの認証成功とする。パスワードが不一致の場合は上記と同様に再入力を促し、所定回数パスワードが一致しない場合はデータベース4へのアクセスを不許可とする。
【0033】
次に、図6を用いて、認証成功した場合のリスト操作について説明する。上記のマトリックス認証およびワンタイムパスワード認証が成功した場合、管理サーバ3はPC端末11に操作画面を提示する。この操作画面では少なくとも「リスト登録」、「リスト参照」、「リスト更新」、「リスト削除」の操作メニューが提示され、ユーザはいずれかを選択することにより自己のシステムリストの参照や更新を行うことができる。すなわち、図6の表に示すように、リスト登録はユーザが新規に固定パスワード認証方式のシステムを利用することとなった場合にデータベース4に登録するための操作であり、システム名、ユーザID、パスワードの入力画面が提示され、ここへの入力情報がデータベース4に追加登録される。このシステム名にはユーザがまだ登録していない任意のシステム名を使用し、データ受領時にデータ処理部32は既に登録されたシステム名と重複しないかのチェックを行って、システム名が重複する場合にはユーザに再入力を促す。ユーザIDとパスワードは他のシステムと重複していても問題はない。図6に示す例では、ユーザが新たにシステムX3を利用することとなり、当該システムX3で利用するユーザIDにUserA3、パスワードにPassA3を新規に追加する例を示す。
【0034】
また、リスト参照が選択されると、管理サーバ3は現在登録されているシステム名の一覧をPC端末11に提示し、ユーザが選択したシステムに対応するユーザIDとパスワードをPC端末11に表示する。例えばユーザがシステムX1を選択した場合には、ID「UserA1」とパスワード「PassA1」が表示される。ユーザはこれを見てPC端末11からシステムX1にアクセスし、ID「UserA1」とパスワード「PassA1」を入力することにより当該システムを利用することが可能となる。また、他の実施例では、システム名の一覧とともにユーザIDの入力欄を設けた選択画面を提示するようにしてもよい。この場合、ユーザはシステム名の選択とともに覚えているIDを入力すると、このシステムを利用するためのパスワードのみが表示されるよう構成する。これにより、ユーザIDとパスワードが一度に表示された画面を盗み見られて不正利用されるリスクを低減させることができる。
【0035】
また、リスト更新は、例えばユーザが既に登録したシステムのパスワード変更を行った場合に管理サーバ3の登録情報を変更するためのものであり、システム名の一覧を提示して、ユーザが選択したシステムに対応するユーザIDとパスワードの更新画面をPC端末11に表示させる。ユーザはこの画面上で必要な更新を行い、最後に登録ボタンの押下等により変更された情報をデータベース4に反映させる。また、リスト削除では、システム名の一覧を提示して、ユーザが選択したシステムのレコードをすべて削除する。例えば図6に示す例において、ユーザがシステムX3の削除を選択した場合には当該システムのシステム名、ユーザID、パスワードがすべて削除される。
【0036】
以上に本発明の一実施例を詳細に説明したが、本発明は上記実施例に限るものではなく、他の様々な実施例として実現することができる。例えば上記実施例では管理サーバ3へのログイン時にマトリックス方式とワンタイムパスワード方式を用いて認証を行っているが、これらに代えて他の公知あるいはこれから実用化される未知の認証方法を適用してもよい。また、上記実施例ではユーザがPC端末11と携帯端末12を使用しており、管理サーバ3へのアクセスはPC端末11で行い、ワンタイムパスワードの受領は携帯端末12で行っているが、これはいずれか一方が他方を兼ねるようにしてもよい。すなわち、ワンタイムパスワードをユーザのPC端末12のメールアドレスに送付する構成としてもよいし、ユーザが携帯端末12から管理サーバ3にアクセスしてデータベース4を参照する構成としてもよい。
【0037】
また、パスワード管理サーバ3のパスワード発行部33を利用して、ユーザが利用するシステムのパスワード作成処理を行わせるようにしてもよい。例えばユーザが新規システムを利用する場合はパスワードを設定する必要があり、また利用中のシステムでも所定期間が経過した場合はパスワードの再設定を行うことが好ましい。この場合にユーザが考える文字列は安易なものとなりがちであるため、「リスト登録」または「リスト更新」の操作画面に「パスワード自動生成」ボタンを設けておき、当該ボタンの押下によりパスワード発行部33がランダムなパスワードを生成してユーザに提示するとともにシステムリストのパスワード欄に登録する。ユーザはここで決定されたパスワードを新規に利用するシステムに登録する。これにより、パスワードを容易に想像できないものとしてセキュリティ性を向上させることができる。また、パスワードが覚えづらいものとなっても管理サーバ3に登録されているため、適宜参照して利用することができる。なお、この場合はパスワード自動生成時に文字数や使用文字の制限を指定できるようにして、パスワード発行部33はこの指定情報を基にパスワードを作成するようにする。
【0038】
以上説明したように、本発明のシステムでは、ユーザが現在利用している既存システムとは完全に独立させてパスワード管理を行っているため、既存のシステムに一切の変更を加えることなくパスワード管理を容易に行うことができる。また、マトリックス認証用の位置情報だけ覚えておけば、利用している複数のシステムのIDやパスワードを覚える必要がなく、ユーザの労力を低減することができる。また、管理サーバ3に登録しておけば記憶に頼る必要がないため、各種システムのパスワードを意味を持たない複雑なパスワードとしたり、定期的に変更することへの躊躇をなくしてセキュリティ性を向上させることができる。さらに、知識認証であるマトリックス認証と、所有物認証であるワンタイムパスワードの携帯メール送信とを組み合わせて利用しているため、安全で厳密なパスワード管理を行うことができる。さらに、本ログインを携帯メールへ送信するワンタイムパスワードで行うようにしたため、以降に何らかの情報が漏れても不正アクセスの危険を殆どなくすことができる。
【産業上の利用可能性】
【0039】
本発明に係るパスワード管理システム、方法およびプログラムは、知識認証であるマトリックス認証と、所有物認証であるワンタイムパスワードの携帯メール送信とを組み合わせて複数のシステムのIDとパスワードを一元管理するものであり、例えばインターネットを介した電子業務システムを利用するコンピュータ産業に好適に利用することができる。
【図面の簡単な説明】
【0040】
【図1】本発明の実施形態に係るパスワード管理システムの概略構成を示す図である。
【図2】ユーザ情報データベースの登録内容を示すイメージ図である。
【図3】本願システムにおけるユーザ登録処理手順を説明するための図である。
【図4】本願システムにおける仮ログイン処理手順を説明するための図である。
【図5】本願システムにおける本ログイン処理手順を説明するための図である。
【図6】本願システムにおけるデータベース操作手順を説明するための図である。
【符号の説明】
【0041】
3 パスワード管理サーバ
4 ユーザ情報データベース
5 通信ネットワーク
11 PC端末
12 携帯端末
31 認証部
32 データ処理部
33 パスワード発行部
【特許請求の範囲】
【請求項1】
ユーザが利用する任意のシステムの名称、当該システムを利用するための識別情報およびパスワードが登録されるユーザ情報データベースと、通信ネットワークを介してユーザ端末から前記データベースへのアクセスを受け付ける管理サーバとを備えるパスワード管理システムにおいて、前記管理サーバが、前記ユーザ端末からのアクセスに対し少なくとも2つの異なる方式の本人認証を行ってから前記データベースへのアクセスを許可する認証手段を備えることを特徴とするパスワード管理システム。
【請求項2】
請求項1に記載のパスワード管理システムにおいて、前記認証手段は、毎回異なる表を生成してユーザ端末に提示し、予めユーザに伝達してある位置に表示された文字等を入力させることによりパスワード認証を行うマトリックス認証部を備えることを特徴とするパスワード管理システム。
【請求項3】
請求項1または2に記載のパスワード管理システムにおいて、前記認証手段は、当該認証手段または前記ユーザ端末で生成されるワンタイムパスワードを用いて認証を行うワンタイムパスワード認証部を備えることを特徴とするパスワード管理システム。
【請求項4】
請求項3に記載のパスワード管理システムにおいて、前記ワンタイムパスワード認証部は、ワンタイムパスワードを生成して当該ユーザの登録メールアドレスに送付し、このパスワードと以降に前記ユーザ端末から通知されるパスワードとを照合することによりワンタイムパスワード認証を行うことを特徴とするパスワード管理システム。
【請求項5】
請求項4に記載のパスワード管理システムにおいて、前記登録メールアドレスは前記ユーザの携帯情報通信端末のメールアドレスであることを特徴とするパスワード管理システム。
【請求項6】
請求項1乃至5のいずれかに記載のパスワード管理システムにおいて、前記管理サーバは、各ユーザの情報を当該ユーザの携帯型通信端末のメールアドレスに関連づけて管理することを特徴とするパスワード管理システム。
【請求項7】
ユーザが利用する任意のシステムの名称、当該システムを利用するための識別情報およびパスワードが登録されるユーザ情報データベースと、通信ネットワークを介してユーザ端末から前記データベースへのアクセスを受け付ける管理サーバとを備えるシステムにおけるパスワード管理方法であって、前記管理サーバが、前記ユーザ端末からのアクセスに対し少なくとも2つの異なる方式の本人認証を行ってから前記データベースへのアクセスを許可することを特徴とするパスワード管理方法。
【請求項8】
請求項7に記載のパスワード管理方法において、前記本人認証は、毎回異なる表を生成してユーザ端末に提示し、予めユーザに伝達してある位置に表示された文字等を入力させることによりパスワード認証を行うマトリックス認証を含むことを特徴とするパスワード管理方法。
【請求項9】
請求項7または8に記載のパスワード管理方法において、前記本人認証は、ワンタイムパスワードを生成して当該ユーザの登録メールアドレスに送付し、このパスワードと以降に前記ユーザ端末から通知されるパスワードとを照合することにより認証を行うワンタイムパスワード認証を含むことを特徴とするパスワード管理方法。
【請求項10】
ユーザが利用する任意のシステムの名称、当該システムを利用するための識別情報およびパスワードが登録されるユーザ情報データベースを備え、通信ネットワークを介してユーザ端末から前記データベースへのアクセスを受け付ける管理サーバで動作するパスワード管理プログラムであって、前記ユーザ端末からのアクセスに対し少なくとも2つの異なる方式の本人認証を行ってから前記データベースへのアクセスを許可する手順を前記管理サーバに実行させることを特徴とするパスワード管理プログラム。
【請求項11】
請求項10に記載のパスワード管理プログラムにおいて、前記本人認証は、毎回異なる表を生成してユーザ端末に提示し、予めユーザに伝達してある位置に表示された文字等を入力させることによりパスワード認証を行うマトリックス認証と、ワンタイムパスワードを生成して当該ユーザの登録メールアドレスに送付し、その後に前記ユーザ端末から通知されるパスワードを照合することにより認証を行うワンタイムパスワード認証とを含むことを特徴とするパスワード管理プログラム。
【請求項1】
ユーザが利用する任意のシステムの名称、当該システムを利用するための識別情報およびパスワードが登録されるユーザ情報データベースと、通信ネットワークを介してユーザ端末から前記データベースへのアクセスを受け付ける管理サーバとを備えるパスワード管理システムにおいて、前記管理サーバが、前記ユーザ端末からのアクセスに対し少なくとも2つの異なる方式の本人認証を行ってから前記データベースへのアクセスを許可する認証手段を備えることを特徴とするパスワード管理システム。
【請求項2】
請求項1に記載のパスワード管理システムにおいて、前記認証手段は、毎回異なる表を生成してユーザ端末に提示し、予めユーザに伝達してある位置に表示された文字等を入力させることによりパスワード認証を行うマトリックス認証部を備えることを特徴とするパスワード管理システム。
【請求項3】
請求項1または2に記載のパスワード管理システムにおいて、前記認証手段は、当該認証手段または前記ユーザ端末で生成されるワンタイムパスワードを用いて認証を行うワンタイムパスワード認証部を備えることを特徴とするパスワード管理システム。
【請求項4】
請求項3に記載のパスワード管理システムにおいて、前記ワンタイムパスワード認証部は、ワンタイムパスワードを生成して当該ユーザの登録メールアドレスに送付し、このパスワードと以降に前記ユーザ端末から通知されるパスワードとを照合することによりワンタイムパスワード認証を行うことを特徴とするパスワード管理システム。
【請求項5】
請求項4に記載のパスワード管理システムにおいて、前記登録メールアドレスは前記ユーザの携帯情報通信端末のメールアドレスであることを特徴とするパスワード管理システム。
【請求項6】
請求項1乃至5のいずれかに記載のパスワード管理システムにおいて、前記管理サーバは、各ユーザの情報を当該ユーザの携帯型通信端末のメールアドレスに関連づけて管理することを特徴とするパスワード管理システム。
【請求項7】
ユーザが利用する任意のシステムの名称、当該システムを利用するための識別情報およびパスワードが登録されるユーザ情報データベースと、通信ネットワークを介してユーザ端末から前記データベースへのアクセスを受け付ける管理サーバとを備えるシステムにおけるパスワード管理方法であって、前記管理サーバが、前記ユーザ端末からのアクセスに対し少なくとも2つの異なる方式の本人認証を行ってから前記データベースへのアクセスを許可することを特徴とするパスワード管理方法。
【請求項8】
請求項7に記載のパスワード管理方法において、前記本人認証は、毎回異なる表を生成してユーザ端末に提示し、予めユーザに伝達してある位置に表示された文字等を入力させることによりパスワード認証を行うマトリックス認証を含むことを特徴とするパスワード管理方法。
【請求項9】
請求項7または8に記載のパスワード管理方法において、前記本人認証は、ワンタイムパスワードを生成して当該ユーザの登録メールアドレスに送付し、このパスワードと以降に前記ユーザ端末から通知されるパスワードとを照合することにより認証を行うワンタイムパスワード認証を含むことを特徴とするパスワード管理方法。
【請求項10】
ユーザが利用する任意のシステムの名称、当該システムを利用するための識別情報およびパスワードが登録されるユーザ情報データベースを備え、通信ネットワークを介してユーザ端末から前記データベースへのアクセスを受け付ける管理サーバで動作するパスワード管理プログラムであって、前記ユーザ端末からのアクセスに対し少なくとも2つの異なる方式の本人認証を行ってから前記データベースへのアクセスを許可する手順を前記管理サーバに実行させることを特徴とするパスワード管理プログラム。
【請求項11】
請求項10に記載のパスワード管理プログラムにおいて、前記本人認証は、毎回異なる表を生成してユーザ端末に提示し、予めユーザに伝達してある位置に表示された文字等を入力させることによりパスワード認証を行うマトリックス認証と、ワンタイムパスワードを生成して当該ユーザの登録メールアドレスに送付し、その後に前記ユーザ端末から通知されるパスワードを照合することにより認証を行うワンタイムパスワード認証とを含むことを特徴とするパスワード管理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2006−195716(P2006−195716A)
【公開日】平成18年7月27日(2006.7.27)
【国際特許分類】
【出願番号】特願2005−6302(P2005−6302)
【出願日】平成17年1月13日(2005.1.13)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成18年7月27日(2006.7.27)
【国際特許分類】
【出願日】平成17年1月13日(2005.1.13)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]