ワンタイムパスワードが導入されるとどうなる？

日本オンラインゲーム協会、ワンタイムパスワード利用の共通認証基盤を導入
http://www.itmedia.co.jp/enterprise/articles/1003/31/news037.html
rongさんが3/31にTwitterで上の記事をつぶやいたので、いろいろ話し合ったり自分なりに考えてみました。

本当は4/1ネタにしようかと思いましたが、将来導入されるシステムをネタにしても意味が無いなーと思い
使いませんでした＾＾；あんまり面白くないし。

パンヤでワンタイムパスワードが導入されるとどうなるのか、ウソGUIを交えて簡単に説明しようと思います。
急にこのシステム来月から導入するよ！って言われても面食らわないように…

日本オンラインゲーム協会（U田さんが会長を勤めてます）
なりすまし犯罪防止のためにセキュリティ共通基盤システムを導入PDF
この内容を読むと、携帯電話を利用したシステムになるそうで、
例が無いか探してみると

携帯電話を利用したワンタイムパスワード認証によりネットサービスにおける「なりすまし」を徹底排除
http://itpro.nikkeibp.co.jp/as/nri7/02.html

たぶん採用されるシステムはソフトウェアトークンのどっちか。
携帯電話の個体識別番号を利用した
ワンタイムパスワードの発行システムになるみたい？

マクドナルドのオンラインクーポンのように、毎回通信をする必要があるのか、
一度携帯電話にアプリケーションをインストールしてしまえば
電波の届かない地域でもパスワードのワンタイム発行が可能なのか…

プレスリリースでは前者っぽい感じですが、後者じゃないと電波が届かない場合、面倒なことが…
（電波の届かないネットカフェ、自宅の場合はどーするのか＾＾；）
「携帯電話を利用した独自の本人確認システム」がユーザー側にとって不便、制限が無いようにして欲しいですね。

なぜ導入する必要があるのかは、一番最初の記事にあるように、
アカウントID＆既存のパスワード+毎回異なるパスワードの「2要素認証技術」の導入が
スパイウェアやキーロガーで抜き出され悪用されるアカウントハックに有効だからです。

毎分変わるパスワードがあれば、アカウントIDとログインPWを盗まれても
パンヤで言えば勝手にCPアイテムを購入されたりする危険が無くなるわけです。
（その携帯電話をセットで盗まれたら意味有りませんが…）
画像で再現するとこんな感じ。

ゲームにログインする際にワンタイムパスワードを要求。
これが業界の大部分で基本になるはずです。

ショップ購入の際にワンタイムパスワードを要求。
オンライン銀行などで決済される方にはおなじみの手続きですよね～

ドルフ金庫の「2要素認証化」
というか4桁PWの方は撤廃されたりして？
こんな感じになると思います。

そのほか公式サイトで個人情報を扱う、セキュリティ強化しなきゃいけない場面で使用されるはず。

ただしレベル上げなどを業者に任せる代行サービス、これは防げないと思います。
メッセンジャーやボイスチャットでその都度言えば良い訳ですから。
パンヤではPJCオンライン等で懸念されている？代打ちなどを防ぐには、
対戦大会をするにもワンタイムパスワードを要求するしか無いでしょうけど、
それではゲームがスムースに進みませんから…やらないでしょうね＾＾；

USB接続タイプのハードウェアトークンを導入しないと現実的では無いでしょう。
（リンクはWikipediaに飛びます）

そしてこのシステムを導入するのに最大の難所は…
システムが携帯電話前提であって、
対応する携帯電話を所有していない場合はどうするのか？でしょうね～

これをフォローする方法は…ハードウェアトークンの配布しかないですけど、
申請すれば無償でもらえるのか、または有償なのかが問題です。

ジャパンネットバンクが導入しているシステムでは
http://www.japannetbank.co.jp/security/security/otp.html
毎分番号が変わる液晶表示の非接触型セキュリティトークン（ハードウェアトークン）です。
私も使ってもう4年ですね～電池の持ちは5年で、裏面に有効期限があるので
その前に再発行手続きをしなければなりません。
JNBは交換の場合は無償のようですが、紛失破損の場合有償で1050円かかるようです。
（USB認証タイプだと1万円～）そのあたりも協会で準備する必要があります。

将来携帯電話が無いとオンラインゲームが出来なくなるのか、
そこが一番懸念する点ですよね…（PHSユーザーも居ますし）

※割と修正しました（AM1:00）

タグ：security ケータイ

コメント 6

セキュリティ強化は重要事項ですねー
今後そういう方式が増えてきたときに、ユーザ側の管理が追いつくかどうかも結構重要ですよね。
by らでぃっしゅ。 (2010-04-05 22:07) 

らでぃっしゅ。さん＞
難しい話題なのか、あまり食いつきは良く無かったです＾＾；
携帯電話を採用することでコスト削減できるのは良いのですけど、
どうしても何割かのユーザーが蚊帳の外になってしまいますからね。
オンラインゲーム協会には問題点を質問にしてメールを出してみました。
一般ユーザーに回答が来るかどうか分かりませんが、
どういう姿勢なのか見極めたいので…
by ぱんがちゃ (2010-04-06 00:32) 

ぱんがちゃさ～ん＾＾♪
これから・・・段々とこのようなセキュリティ導入が、
頻繁になってくるのでしょうか～？
・・・でも・・・仕方ないんですよね～(*'-')
by ほちゃ (2010-04-06 00:38) 

ルーセントハートのキャラがいるガンホーでも、すでにワンタイムパスワードが実装されてるんですが、σ(・ω・*)のケータイがiPhoneなので利用できなかったりします。
(｡´･ω･`)ぐぬぬ・・・
by flanca (2010-04-06 20:50) 

ほちゃさん＞
通信でパスワードを扱うものの標準になりつつありますからね～
慣れるしかないと思います。

flancaさん＞
おおーもう導入しているんですか。
じゃあそれベースで協会に入ってる運営会社でも使えるようになるのかな。
ガンホーのゲームはやったことありませんが、どんな感じなのか
体験したくなりますね＾＾；
やっぱりケータイアプリ限定かぁ…利用できないけどプレイできるって事は、選択性なのかな？
ワンタイムパスワードを利用しないと
ハックされた場合サポートしませんよとか(；ﾞﾟ'ωﾟ'）:
by ぱんがちゃ (2010-04-06 23:20) 

実際、これはすべてのせいに腐敗と悪をしていて、カトリック司教たちは確かにあった。
by coach wallets (2011-01-13 17:05)