JP4132769B2 - 認証システム及び認証方法 - Google Patents
認証システム及び認証方法 Download PDFInfo
- Publication number
- JP4132769B2 JP4132769B2 JP2001311350A JP2001311350A JP4132769B2 JP 4132769 B2 JP4132769 B2 JP 4132769B2 JP 2001311350 A JP2001311350 A JP 2001311350A JP 2001311350 A JP2001311350 A JP 2001311350A JP 4132769 B2 JP4132769 B2 JP 4132769B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- password
- authentication information
- input
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークを介して所定のサービスを利用する利用者の認証方法及びこの方法を実現するためのシステムに関し、特に、利用者に対してパスワードを発行する認証方法及びこの方法を実現するためのシステムに関する。
【0002】
【従来の技術】
インターネット等のネットワークにおいては、個人情報や企業情報など、漏洩させてはならない情報を悪意の第三者から守りつつ、その情報を確実に維持し、いつでも有効利用できる状態を保つことが必要である。このようなネットワークにおけるセキュリティ対策の一例として、従来、ユーザIDやパスワードを用いたユーザの認証方法が採用されている。この認証方法は、ネットワークを介して所定のシステムにログインしようとする利用者に対して、ユーザID及びパスワードの入力を要求し、この入力されたユーザID及びパスワードに基づいて当該利用者が真のユーザであるか否かを判断するものである。
【0003】
ところで、近年、インターネット等のネットワークを介して多種多様なシステムによるサービスが利用者に提供されており、その中には、上述した個人情報や企業情報などを取り扱うサービスもある。そして、かかるサービスにおけるセキュリティ対策としてユーザID及びパスワードを用いたユーザの認証方法が採用されている場合には、利用者に対して、そのサービスを利用する前にユーザID及びパスワードを取得するための登録手続を要求する場合が多い。
【0004】
例えば、金融機関が提供するインターネットショッピング決済サービスにおける登録手続及び認証方法について説明する。まず、当該サービスの利用を希望する利用者は、金融機関が予め用意した申込書に必要事項を記入し、当該金融機関に郵送する。この申込書には、利用者の氏名、口座情報、メールアドレス、届出印、仮パスワード等の個人情報を記載する。金融機関は、この申込書を受け付けると、利用者の与信調査等を行った後、利用者の情報を所定のデータベースに登録するとともに、利用者を一意的に特定するユーザIDを発行する。そして、このユーザIDを、利用者が申請書に記載したメールアドレスに対して送信する。
【0005】
利用者は、メールを受信して当該サービスを利用するためのユーザIDを取得すると、指定されたWebページにアクセスして所定の操作を行うことにより、仮パスワードを本パスワードに変更する。仮パスワードから本パスワードへの変更の際に、利用者にはユーザID及び仮パスワードの入力が要求される。そして、利用者が入力したユーザID及び仮パスワードの照合結果が妥当であると判断された場合に(利用者が申込書を提出した本人であると認証された場合に)、仮パスワードから本パスワードへの変更が認められる。これにより、利用者が所定のサービスを利用するための登録手続が完了し、これ以後、利用者は、取得したユーザID及び本パスワードを用いて当該サービスを利用することができるようになる。
【0006】
このように、ネットワークを介して所定のシステムによりサービスを提供する場合には、利用者を一意的に特定するユーザIDやパスワードを発行し、利用者が所定のサービスを利用する際に(すなわち、システムにログインする際に)、そのユーザID及びパスワードを利用者に入力させてその利用者を認証することにより、外部からの侵入や、それに伴うデータの漏洩や破壊などを防止している。
【0007】
なお、以上のようなサービスの申込は、申込書の郵送に限らず、申込書と実質同一内容のWebページに必要事項を入力することにより行う場合もある。また、仮パスワードは、申込時に利用者が申請する場合に限られず、サービスの提供者側から付与される場合もある。
【0008】
【発明が解決しようとする課題】
しかしながら、上述したユーザID及びパスワードを用いる認証方法における登録手続においては、以下に述べるような問題があった。すなわち、利用者が所定のシステムによるサービスの利用申込を行った時点から、ユーザIDを受け取ってパスワードを取得する時点までの間には、一定のタイムラグが生じる場合が多い。
【0009】
なぜなら、システムを運用する側では、郵送等による利用者からの申込書を受け付けた後、必要な利用者情報をデータベースに登録したり、ユーザIDを発行して利用者に通知したりする作業を行う必要があり、かかる作業には所定の時間を要するからである。さらに、利用者に提供するシステムの内容によっては、そのシステムの利用を許可するか否かについて利用者の与信調査や内部審査などを行う必要があるため、かかる場合には、利用者が、申込書を発送してからユーザIDを受け取るまでに、長いタイムラグ(例えば、約1ヶ月)が経過している場合もある。
【0010】
このように、利用者が申込書を発送してからユーザIDを受け取るまでに生じるタイムラグが長い場合には、いざ利用者がユーザIDを受け取って本パスワードを取得しようとした際に、申込書に記載した仮パスワードを忘れてしまったり、この仮パスワードを書き留めていたメモを紛失してしまったりという事態が生じやすかった。
【0011】
特に、仮パスワードは、第三者による盗難を防止すべく所定桁数以上の数字やアルファベットの組み合わせから構成されるようにシステム側が規定している場合が多く、利用者もまた、それを受けて、数字やアルファベットのランダムな配列を意識して仮パスワードを作成する場合が多い。従って、自ら作成した仮パスワードであっても、時間の経過とともに、その内容を思い出すことが困難となりがちであった。さらに、仮パスワードがシステム側によって付与されたような場合には、その仮パスワードを書き留めていたメモ等が存在しなければ、利用者が思い出すことはほぼ不可能であった。
【0012】
このような場合、利用者は、仮パスワードを入力することができないため、本パスワードを取得することができず、その結果、登録手続を最初からやり直したり、仮パスワードをシステム担当者に問い合わせたりしなければならなかった。サービスを実際に利用する前に、このようなハプニングが生じることは、ユーザにとって煩わしいものであると同時に非常に面倒なものでもあった。一方、システムを運用する側にとっても、仮パスワードを忘れてしまったという問い合わせにその都度対処することは、煩雑な作業であるとともに面倒な作業でもあった。
【0013】
このような事態を鑑み、例えば、登録手続において、通知したユーザIDのみに基づいてパスワードを取得させる方法も考えられる。しかし、かかる場合には、例えば、ユーザIDが真の利用者とは異なる利用者に拾得され不正に利用された場合に、パスワードの取得を申請する者が真の利用者か否かを判断することが困難となってしまう。従って、パスワードを付与する際のセキュリティを維持するためには、やはりユーザID以外の認証情報も使用して真の利用者を確認することが望ましい。
【0014】
そこで、本発明の課題は、パスワードを用いた認証方法における登録手続において、所定の認証情報を用いて真の利用者を認証する一方、利用者が滞りなくパスワードを取得することができる認証方法及びそれを実現するシステムを提供することにある。
【0015】
【課題を解決するための手段】
本発明の要旨は、利用者からの申請に基づく第1の認証情報と第2の認証情報とを対応付けた合言葉パスワードを記憶し、利用者からパスワードの取得要求を受け付けると、合言葉パスワードの第1の認証情報を利用者に提示するとともに第2の認証情報の入力を利用者に促し、利用者が入力した第2の認証情報を受け付けると、受け付けた第2の認証情報と提示した第1の認証情報に対応づけて記憶された第2の認証情報とを照合し、照合結果が一致する場合に、所定のパスワードを発行することである。
【0016】
具体的には、本発明に係る認証システムは、パスワードを用いてユーザを認証する認証システムにおいて、ユーザの申請に基づく第1の認証情報及び第2の認証情報を対応付けて記憶する記憶手段と、前記ユーザから新規パスワードの取得要求を受け付ける受付手段と、前記受付手段が受け付けた取得要求に基づいて特定される前記第1の認証情報をユーザに提示するとともに、提示された第1の認証情報に対応する第2の認証情報の入力をユーザに促す第1の入力手段と、前記第1の入力手段により入力された第2の認証情報を受け付けると、前記受け付けた第2の認証情報と前記提示した第1の認証情報に対応付けて前記記憶手段が記憶する第2の認証情報とを照合する照合手段と、前記照合手段による照合結果が一致する場合には、前記新規パスワードを発行する発行手段とを備えることを特徴とする。
【0017】
前記発行手段は、前記照合手段による照合結果が一致する場合には、ユーザを一意的に特定する仮パスワードを発行するとともに、前記発行した仮パスワードをユーザに通知し、前記ユーザから前記仮パスワードを本パスワードへ変更する要求を受け付けると、前記仮パスワード及び所望する本パスワードの入力をユーザに促す第2の入力手段と、前記第2の入力手段により入力された仮パスワード及び本パスワードを受け付けると、前記受け付けた仮パスワードと前記発行手段が発行した仮パスワードとを照合し、照合結果が一致する場合には、前記仮パスワードを前記受け付けた本パスワードへ変更する変更手段とをさらに備えることが望ましい。
【0018】
また、前記発行手段は、前記照合手段による照合結果が一致する場合には、所望する本パスワードの入力をユーザに促し、前記ユーザが入力した本パスワードを受け付けると、前記受け付けた本パスワードに基づいて新規本パスワードを発行することが望ましい。
【0019】
また、前記認証システムは、前記ユーザを一意的に特定するユーザIDを発行するとともに、前記発行したユーザIDを前記ユーザに通知する通知手段をさらに備え、前記第1の入力手段は、前記受付手段が前記ユーザから新規パスワードの取得要求を受け付けると、前記ユーザにユーザIDの入力を促し、入力されたユーザIDと前記通知手段が通知したユーザIDとを照合し、照合結果が一致する場合には、前記受付手段が受け付けた取得要求に基づいて特定される前記第1の認証情報をユーザに提示するとともに、提示された第1の認証情報に対応する第2の認証情報の入力をユーザに促すことが望ましい。
【0020】
また、前記発行手段は、前記照合手段による照合結果が一致する場合には、新規本パスワードと前記ユーザを一意的に特定するユーザIDとを発行し、前記発行した新規本パスワードとユーザIDとを前記ユーザに通知することが望ましい。
【0021】
また、前記第1の認証情報は質問形式にて構成され、前記第2の認証情報は前記第1の認証情報に対する回答形式にて構成されていることが望ましい。
【0022】
また、前記第1の入力手段は、所定の条件に従って、前記第1の認証情報及び前記第2の認証情報のうち前記ユーザに提示する一の認証情報を決定し、決定した一の認証情報をユーザに提示するとともに、他の認証情報の入力をユーザに促すこともできる。
【0023】
また、本発明に係る認証システムは、パスワードを用いてユーザを認証するサーバと、前記サーバにログインするクライアントから構成される認証システムにおいて、前記サーバが、ユーザの申請に基づく第1の認証情報及び第2の認証情報を対応付けて記憶し、前記クライアントが、前記サーバに新規パスワードの取得要求を送信し、前記サーバが、前記クライアントから送信される新規パスワードの取得要求を受け付けると、前記受け付けた取得要求に基づいて特定される前記第1の認証情報を前記クライアントに送信し、前記クライアントが、前記サーバから送信される前記第1の認証情報に対応する第2の認証情報の入力を前記ユーザから受け付けて、これを前記サーバに送信し、前記サーバが、前記クライアントから送信される前記第2の認証情報を受け付けると、前記受け付けた第2の認証情報と前記送信した第1の認証情報に対応付けて記憶する第2の認証情報とを照合し、照合結果が一致する場合には、前記新規パスワードを発行することを特徴とする。
【0024】
また、本発明は認証方法の発明としても把握することができ、具体的には、ユーザの申請に基づく第1の認証情報及び第2の認証情報を対応付けて記憶する段階と、前記ユーザから新規パスワードの取得要求を受け付ける段階と、前記受け付けた取得要求に基づいて特定される前記第1の認証情報をユーザに提示するとともに、提示された第1の認証情報に対応する第2の認証情報の入力をユーザに促す段階と、前記ユーザにより入力された第2の認証情報を受け付けると、前記受け付けた第2の認証情報と前記提示した第1の認証情報に対応付けて記憶する第2の認証情報とを照合する段階と、照合結果が一致する場合には、前記新規パスワードを発行する段階とを備えることを特徴とする。
【0025】
さらにまた、本発明は各機能をコンピュータに実現させるプログラムの発明としても把握することができ、具体的には、ユーザの申請に基づく第1の認証情報及び第2の認証情報を対応付けて記憶する機能と、前記ユーザから新規パスワードの取得要求を受け付ける機能と、前記受け付けた取得要求に基づいて特定される前記第1の認証情報をユーザに提示するとともに、提示された第1の認証情報に対応する第2の認証情報の入力をユーザに促す機能と、前記ユーザにより入力された第2の認証情報を受け付けると、前記受け付けた第2の認証情報と前記提示した第1の認証情報に対応付けて記憶する第2の認証情報とを照合する機能と、照合結果が一致する場合には、前記新規パスワードを発行する機能とをコンピュータに実現させるプログラムであることを特徴とする。
【0026】
なお、本明細書において、手段とは、単に物理的手段を意味するものではなく、その手段が有する機能をソフトウェアによって実現する場合も含む。また、1つの手段が有する機能が2つ以上の物理的手段により実現されても、2つ以上の手段の機能が1つの物理的手段により実現されても良い。
【0027】
【発明の実施の形態】
[第1の実施形態]
本実施形態は、利用者からの申請に基づく第1の認証情報と第2の認証情報とを対応付けた合言葉パスワードを記憶し、利用者からパスワードの取得要求を受け付けると、合言葉パスワードの第1の認証情報を利用者に提示するとともに第2の認証情報の入力を利用者に要求し、利用者が入力した第2の認証情報を受け付けると、受け付けた第2の認証情報と提示した第1の認証情報に対応づけて管理される第2の認証情報とを照合し、照合結果が一致する場合に、所定のパスワードを発行することを特徴としている。
【0028】
合言葉パスワードの第1の認証情報は、典型的には、質問形式で構成され、第2の認証情報は、回答形式で構成される。これにより、例えば、サービスの申込時からパスワード取得時までの間にタイムラグが生じている場合でも、合言葉パスワードは質問及び回答から構成されているので、利用者は提示された質問を見れば入力すべき回答を容易に思い出すことができる。従って、合言葉パスワードを忘れることによりパスワードを取得することができないといった事態を回避することが可能になる。
【0029】
なお、本実施形態における登録手続は、1)システムの利用申込、2)ユーザIDの通知、3)合言葉パスワードの認証、4)仮パスワードの取得、5)本パスワードの取得という手順に沿って進むものとする。すなわち、利用者は、ユーザIDを受け付けると、合言葉パスワード(質問に対する回答)に基づいて仮パスワードを取得し、この仮パスワードに基づいて所望する本パスワードを取得する。このように、利用者は、パスワードを2回変更することとなるので(合言葉パスワードから仮パスワードへ、仮パスワードから本パスワードへ)、システム利用開始時のセキュリティを厳しく維持することができるようになる。
【0030】
図1は、本実施形態に係る認証システムの全体的な概略構成を示すブロックダイアグラムである。同図に示すように、認証システム1は、典型的には、インターネット上のWWWシステムを利用したクライアント/サーバシステムとして実現される。さらに、本実施形態では、ビジネスアプリケーションソフトをネットワークを介してユーザに提供するサーバシステムと、そのビジネスアプリケーションソフト利用するクライアントから構成されている。
【0031】
すなわち、認証システム1(サーバシステム)には、ユーザ端末2から送られるHTTPによるメッセージを受け付けて、そのメッセージに対応した処理を行うためのWebサーバプログラムが実装されている。一方、ユーザ端末2(クライアントシステム)には、認証システム1にアクセスし、Webコンテンツを閲覧するためのブラウザプログラム21が実装されている。なお、ユーザ端末2には、携帯電話機のような携帯情報端末装置を用いることもできる。
【0032】
次に、認証システム1について詳細に説明する。認証システム1は、ユーザ登録手段10、パスワード発行手段11、ユーザデータベース12(以下、「ユーザDB12」という。)、及びコンテンツデータベース13(以下、「コンテンツDB13」という。)を備える。ユーザ登録手段10は、ユーザの申請に基づくユーザ情報をユーザデータベース12に登録し、ユーザID及びパスワード取得画面を指定するURLをユーザに電子メールにて送信する機能を有する。パスワード発行手段11は、ユーザ端末2からパスワード取得要求を受け付けると、ユーザの認証を行い、認証結果が妥当である場合に、パスワードを発行する機能を有する。
【0033】
ユーザ登録手段10は、ユーザ情報登録部101と、ユーザID作成部102と、メール送信部103とを備える。ユーザ情報登録部101は、ユーザ情報をユーザDB12に登録する。ユーザ情報は、ユーザに関する情報、例えば、氏名、会社名、電話番号、メールアドレス、合言葉パスワード(質問及び回答)などの情報を含んでいる。これらのユーザ情報は、ユーザから郵送された、あるいは認証システムの運営担当者がユーザから直接受け付けた認証システムの利用申込書や、ユーザ端末2から送信される利用申込書データに基づいて登録される。ユーザ情報登録部101は、ユーザDB12へのユーザ情報の登録作業が完了すると、その旨をユーザID作成部102に送出する。
【0034】
ユーザID作成部102は、ユーザDB12にユーザ情報が登録された旨を受け付けると、このユーザを一意的に特定するためのユーザIDを作成し、ユーザ情報と対応付けてユーザDB12に記憶する。また、ユーザID作成部102は、ユーザIDの発行を通知するメール(以下、「ユーザID発行通知メール」。)の送信を許可する旨、及びユーザによる認証システム1の利用開始日が指定されている場合にはその利用開始日を、ユーザDB12に登録する。
【0035】
メール送信部103は、予め指定されたタイミングで、ユーザID発行通知メールの送信処理を行う。まず、メール送信部103は、ユーザDB12を参照して、ユーザID発行通知メールの送信が許可されており、かつ利用開始日の条件を満たしているユーザIDを抽出する。そして、ユーザID作成部102は、条件に合致するユーザIDごとに、仮パスワード取得画面を指定するとともにユーザを一意的に特定可能なURLを生成し、ユーザID及びURLを含むメールコンテンツを作成する。そして、メール送信部103は、ユーザDB12からユーザIDに対応するメールアドレスを抽出し、これを作成したメールコンテンツの宛先ヘッダにセットしてメールを完成させると、このメールを送信する。送信されたメールは、ネットワーク3に送出され、そのメールアドレスが割り当てられたユーザ端末2により受信される。
【0036】
ユーザ端末2は、メール送信部103から送信されたメールを着信すると、ユーザの所定の操作に従ってそのメールコンテンツを画面上に表示する。ユーザは、発行されたユーザID及びURLを確認するとともに、そのメールコンテンツに含まれるURLを選択する。URLが選択されるとユーザ端末2に実装されたブラウザソフトが起動され、ユーザ端末2は、そのURLに従うWebコンテンツの取得要求を認証システム1に送信する。
【0037】
ここで、パスワード発行手段11は、認証処理部111とパスワード発行部112とを備える。認証処理部111は、所定の段階に応じた条件でユーザを認証する。具体的には、認証処理部111は、上述したユーザ端末2からのWebコンテンツの取得要求を受け付けると、これに応じてそのURLに従うWebコンテンツをユーザ端末2に送信するとともに、受け付けたURLに基づいてユーザDB12を参照してユーザIDを特定する。その後、認証処理部111は、ユーザID、合言葉パスワード、及び仮パスワード等の入力を段階に応じてユーザに促し、ユーザの入力したユーザID、合言葉パスワード、及び仮パスワード等とユーザDB12に記憶されたユーザID、合言葉パスワード、及び仮パスワード等が一致するか否かを照合する。そして、認証処理部111は、照合結果が一致する場合には、ユーザを真のユーザであると認証しその旨をパスワード発行部112に送出する一方、照合結果が一致しない場合には、ユーザを真のユーザであると認証せず処理を中止する。
【0038】
パスワード発行部112は、認証処理部111から、ユーザが認証された旨を受け付けると、所定の段階に応じて仮パスワード又は本パスワードを発行する。仮パスワードには、パスワード発行部112が予め設定された関数等に基づいて自動的に算出した値が用いられる。本パスワードには、ユーザが自ら申請した値が用いられる。また、パスワード発行部112は、発行した仮パスワード又は本パスワードをユーザDB13にユーザIDと対応付けて記憶するとともに、ユーザが仮パスワード及び本パスワードを取得した旨を記憶する。
【0039】
ユーザDB12は、ユーザに関する情報、例えば、氏名、会社名、電話番号、メールアドレスなどの情報を格納している。また、ユーザを認証するための合言葉パスワード(質問及び回答)、仮パスワード、及び本パスワードや、上述したURL、パスワードの取得状況を示すステータスフラグ等の情報を含み、これらの情報は、ユーザを一意的に特定するためのユーザIDと対応付けて管理される。
【0040】
コンテンツDB13は、ユーザに提供すべき画面を構成するWebコンテンツを格納している。これらのWebコンテンツは、例えばHTMLなどを用いて設計することができる。本実施形態では、Webコンテンツとして、ユーザが仮パスワードを取得するための仮パスワード取得画面や、仮パスワードから本パスワードへ変更するためのパスワード変更画面等が用意されている。これらの画面は、ユーザにユーザIDや合言葉パスワード(回答)等の入力を促して、その入力を受け付けるためのものである。これらの、Webコンテンツは、静的なデータとして予め用意されているものの他、CGIプログラムなどによって動的に生成することもできる。この、CGIプログラムは、WebサーバプログラムがHTTPにより特定のメッセージを受け付けた場合に実行されるプログラムであり、本実施形態では、認証処理部111における認証処理等を行う機能を有するプログラムが用意されている。
【0041】
以上のように構成される全体システムにおいて、本実施形態に係る認証システムの概略的なワークフローを説明すれば以下のとおりである。
【0042】
図2は、本実施形態に係る認証方法のワークフロー図である。なお、図中、ネットワークを介さず郵送等の手段を用いて行われる処理については点線で示している。
【0043】
まず、ユーザは、認証システム1を利用するにあたり、あらかじめ所定の事項を記載した利用申請書を提出する必要がある(S1)。利用申請書は、利用申請書を郵送又は認証システムの運営担当者に直接受渡すことによって提出することができる。あるいは、ユーザ端末2から認証システム1が提供する利用申請画面(図示せず)にアクセスし、所定の事項を入力することによって利用申請書を提出することもできる。利用申請書には、所定の事項として、氏名、会社名、電話番号、メールアドレス、合言葉パスワード(質問及び回答)などの情報を記載する。
【0044】
認証システム1の運営担当者は、利用申請書を入手すると、ユーザ情報(利用申請書に記載された所定の事項)の登録を行う前に、このユーザについて与信調査及び社内決済等の事前処理を行う。そして、この事前処理を通過したユーザ情報について、認証システム1の運営担当者は、ユーザDB12に登録する(S2)。認証システム1は、ユーザ情報の登録が完了すると、ユーザを一意的に特定可能なユーザIDを発行するとともに(S3)、ユーザID発行通知メールの送信を許可する旨をユーザDB12に記憶する。なお、認証システム1の運営担当者は、ユーザID発行通知メールの送信日時が指定されている場合には、指定されている送信日時をユーザDB12に登録する。
【0045】
認証システム1は、所定のタイミング(例えば、毎日午前0時)でメール送信処理を実行する。具体的には、認証システム1は、ユーザDB12を参照し、ユーザID発行通知メールの送信が許可されているユーザID(送信日時が指定されている場合には、更にその送信日時の条件を満たしているユーザID)をチェックする。そして、認証システム1は、該当するユーザID毎に、仮パスワード取得画面を指定するURLを作成し、このURLとユーザIDとを含むユーザID発行通知メールをユーザのメールアドレスに送信する(S4)。
【0046】
ユーザ端末2は、ユーザID発行通知メールを受信すると(S5)、そのメールコンテンツの内容を確認し、仮パスワードの申請を行う(S6)。なお、仮パスワードの申請は、メールコンテンツに記述されたURLを選択することにより行う。ユーザ端末2は、URLが選択されると、そのURLが指定する仮パスワード取得画面の取得要求を認証システム1に送信する。
【0047】
認証システム1は、URLが指定する仮パスワード取得画面の取得要求を受け付けると、このURLが指定する仮パスワード取得画面を送信する(S7)。また、このURLに基づいてユーザDB12を参照することによりユーザIDを特定する。
【0048】
ユーザ端末2は、送信された仮パスワード取得画面を受け付けると、これをユーザ端末2のブラウザ上に表示する。ユーザは、仮パスワード取得画面の指示に従いユーザIDを入力し、ユーザ端末2がこれを認証システム1に送信する(S8)。
【0049】
認証システム1は、ユーザ端末2からユーザIDを受け付けると、受け付けたユーザIDとURLにより特定したユーザIDとを照合し、照合結果が一致する場合には、次に、合言葉パスワードの質問を含む画面を送信する(S9)。
【0050】
ユーザ端末2は、合言葉パスワードの質問を含む画面を受け付けると、ブラウザ上にその画面を表示し、ユーザは、合言葉パスワードの質問に対応する回答を入力する(S8)。ユーザ端末2がこれを認証システム1に送信すると、認証システム1は、これを受け付けて、ユーザDB12に記憶された回答と照合する(S9)。
【0051】
認証システム1は、照合結果が一致する場合には、仮パスワードを発行してこれを送信し、照合結果が一致しない場合には、エラーメッセージを送信して、処理を中止する(S10)。ユーザ端末2は、仮パスワードを受け付けると、これをブラウザ上に表示し、ユーザは仮パスワードを取得する(S11)。
【0052】
次に、ユーザは、この取得した仮パスワードに基づいて、本パスワードの申請を行う(S12)。認証システム1は、本パスワードの申請を受け付けると(S13)、ユーザID及び仮パスワードの入力を促す画面を送信し、ユーザ端末2は、これを受け付けるとブラウザ上に表示する。ユーザは、この画面に従って、ユーザID及び仮パスワードを入力すると、ユーザ端末2は、入力されたユーザID及び仮パスワードを認証システム1に送信する(S14)
認証システム1はユーザDB12に記憶されたユーザID及び仮パスワードと照合し、照合結果が一致する場合には、本パスワードの入力を促す画面を送信し、照合結果が一致しない場合には、エラーメッセージを送信して処理を中止する(S15)。
【0053】
ユーザ端末1は、本パスワードの入力を促す画面を受け付けると、これをブラウザ上に表示し、ユーザがこの画面から所望する本パスワードを入力すると、これを認証システム1に送信する(S16)。認証システム1は、本パスワードを受信すると、これをユーザDB12に登録するとともに、本パスワードが登録された旨をユーザ端末2に送信する(S17)。
【0054】
以上によれば、ユーザが仮パスワードを取得する際に、ユーザに合言葉パスワードの質問が表示されるとともに、その質問に対する回答の入力が要求されるので、ユーザは入力すべき内容(回答)をその質問から容易に導き出すことができるようになる。
【0055】
図3は、認証システム1が管理するユーザDB12のデータ構造の一例を示す図である。ユーザDB12は、認証システム1を利用するユーザに関するデータを蓄積する。また、ユーザDB12は、ユーザを認証するために必要なデータから構成され、例えば、ユーザID121、氏名122、会社名123、電話番号124、メールアドレス125、合言葉質問126、合言葉回答127、URL128、仮パスワード129、及び本パスワード130等の項目を含んでいる。
【0056】
ユーザID121、氏名122、会社名123、電話番号124、メールアドレス125、合言葉質問126及び合言葉回答127の各項目には、利用申請書に記載されたデータが記憶される。また、仮パスワード129には、認証システム1が予め設定された関数等に基づいて自動的に算出した値が記憶され、本パスワード130には、ユーザが申請した値が記憶される。
【0057】
URL128には、仮パスワード取得画面を指定するとともに、ユーザを一意的に特定するためのパラメータが付与されたURLの文字列が記憶される。URL128に記憶される文字列は、全部でもよいし一部分(ユーザを特定可能な部分)でもよい。URL128は、認証システム1がURL128に記憶されたURLに基づいてユーザIDを特定するためのものであるから、ユーザを特定可能な部分が格納されていれば十分だからである。
【0058】
また、本実施形態では、ユーザDB12は、ユーザID発行通知メールの送信を制御する送信区分項目として、メールフラグ131及び日時情報132を含んでいる。メールフラグ131は、ユーザID発行通知メールの送信を許可するか否かを示すためのものであり、「有効」または「無効」のいずれかを示す値が保持される。日時情報132は、ユーザID発行通知メールの送信日時を指定するためのものであり、送信日時が指定されている場合には、その日時が、指定されていない場合には、null値が保持される。例えば、ユーザの登録契約が2001年9月10日で、ユーザの認証システム1へのアクセス許可日(開始日)が2001年10月1日である場合には、日時情報132には、「2001年10月1日」が設定される。この認証システム1は、メールフラグ131が「有効」、かつ処理時点で日時情報132の日時を経過している場合には、ユーザID発行通知メールを送信する。
【0059】
また、本実施形態では、ユーザDB12は、ステータス133を含んでいる。ステータス133は、利用申請書提出後のユーザの状況を示すフラグであり、「仮パスワードを取得していない」「仮パスワードを取得した」「本パスワードを取得していない」「本パスワードを取得した」などのユーザの状態を示す値が保持される。なお、このステータス133については、後の実施形態にて詳述する。
【0060】
認証システム1は、メールフラグ131及び日時情報132のデータに基づいて、ユーザID発行通知メールの送信の有無を判断し、送信すると判断する場合には、ユーザID121及びURL128のデータをメールアドレス125宛に送信する。そして、ユーザからURLに従う仮パスワードの取得要求を受け付けると、URL128を参照してユーザID121を特定し、ユーザIDの入力を促してユーザを認証する。続いて、合言葉質問126のデータをユーザに送信するとともに、これに対応する合言葉回答126のデータの入力を促す。そして、ユーザにより入力されたデータと、合言葉回答126に記憶されたデータとを照合し、照合結果が一致する場合には、仮パスワードを発行して仮パスワード129に記憶するとともに、「仮パスワード取得済み」をステータス133に記憶する。
【0061】
図4は、認証システム1によるユーザ情報登録処理の主な流れを示すフローチャートである。まず、認証システム1は、ユーザ情報の登録が完了すると(STEP401)、ユーザIDを発行する(STEP402)。次に、認証システム1は、メール送信処理を実行するか否かを判断する(STEP403)。本実施形態では、予め設定された所定のタイミング(午前0時)である場合には、メール送信処理を実行すると判断するものとするが、例えば、認証システム1の運営担当者の指示に基づいて、メール送信処理を実行するものとしてもよい。
【0062】
認証システム1は、メール送信処理を実行すると判断する場合には、所定のユーザIDについて、ユーザDB12のメールフラグに設定された値が有効であるか否かを判断し(STEP404)、有効であると判断する場合には、日時情報に設定された時間を経過しているか否かを判断する(STEP405)。そして、認証システム1は、日時情報に設定された時間を経過していると判断する場合には、仮パスワード取得画面を指定するとともにユーザを一意的に特定するURLを生成する(STEP406)。
【0063】
そして、認証システム1は、ユーザDB12を参照して、ユーザ情報(氏名122、会社名123、メールアドレス125等)を取得すると、ユーザID、URL、取得したユーザ情報に基づいてユーザIDの発行を通知するメールコンテンツを作成し(STEP408)、メールアドレスを宛先ヘッダにセットして(STEP409)、メールを送信する(STEP410)。
【0064】
図7は、ユーザID発行通知メールのメールコンテンツの一例を示す図である。同図に示すように、メールコンテンツは、ユーザIDが発行された旨を通知する文面と、発行されたユーザID7aを含んでいる。また、メールコンテンツは、仮パスワードを取得するためのWebコンテンツを指定するURL7bを含み、ユーザがそこから仮パスワードの取得を行うことができるように構成されている。
【0065】
図5は、認証システム1による仮パスワード発行処理の主な流れを示すフローチャートである。上述したように、認証システム1は、ユーザID及び仮パスワード取得画面を指定するURLを含むメールをユーザのメールアドレスに対して送信する(STEP501)。そして、このメールを受信したユーザ端末2から、メールに記載されたURLが指定する仮パスワード取得画面の取得要求を受け付けると(STEP502)、そのURLが指定する仮パスワードの取得画面をユーザ端末2に送信する(STEP503)。なお、認証システム1は、受け付けたURLに基づいてユーザDB12を参照することにより、ユーザIDを特定し、この特定したユーザIDを所定の領域に記憶する。
【0066】
図8は、ユーザ端末2のブラウザ上に表示された仮パスワードの取得画面の一例を示す図である。同図に示すように、仮パスワードの取得画面には、ユーザIDの入力欄8aが設けられている。ユーザは、この入力欄8aに、メールにて通知されたユーザIDを入力して、「次へ」ボタン8bをクリックすることができる。「次へ」ボタン7bがクリックされると、ユーザ端末2は、入力されたユーザIDを認証システム1に送信する。
【0067】
次に、仮パスワードの取得画面に入力されたユーザIDをユーザ端末2から受け付けると(STEP504)、この受け付けたユーザIDと、所定の領域に記憶されたユーザIDとを照合し(STEP505)、照合結果が一致する場合には、ユーザDB12からユーザIDに対応する合言葉パスワード(質問)を読み出して、これに対応する合言葉パスワード(回答)の入力を促す画面をユーザ端末2に送信する(STEP506)。
【0068】
図9は、ユーザ端末2のブラウザ上に表示された合言葉パスワード(回答)の入力を促す画面の一例を示す図である。同図に示すように、合言葉パスワード(回答)の入力を促す画面には、合言葉パスワード(質問)9aが表示されているとともに、これに対応する合言葉パスワード(回答)を入力する欄9b設けられている。ユーザは、この合言葉パスワード(回答)入力する欄9bに、表示された合言葉パスワード(質問)に対応する回答であって、利用申請書にて自分が申請した合言葉パスワード(回答)を入力して、「仮パスワード申請」ボタン9cをクリックすることができる。「仮パスワード申請」ボタン9cがクリックされると、ユーザ端末2は、入力された合言葉パスワード(回答)を認証システム1に送信する。
【0069】
合言葉パスワード(回答)がユーザ端末2から送信されると、認証システム1はこれを受け付けて(STEP507)、受け付けた合言葉パスワード(回答)と、ユーザDB12に記憶された合言葉パスワード(回答)とを照合する(STEP508)。
【0070】
認証システム1は、照合結果が一致する場合には、仮パスワードを発行し、ユーザ端末2に送信するとともに、ユーザDB12にユーザIDと対応付けて記憶する(STEP509)。また、認証システム1は、ユーザDB12に仮パスワードが取得された旨を記憶する。
【0071】
図10は、ユーザ端末2のブラウザ上に表示された仮パスワード通知画面の一例を示す図である。同図に示すように、仮パスワード通知画面には、仮パスワード10aが表示されている。また、[次のステップ]として、「次へ」ボタン10bの選択を促す旨が表示されている。ユーザは、この仮パスワード通知画面より発行された仮パスワードを確認すると、この仮パスワードをメモした後、「次へ」ボタン10bをクリックすることができる。この「次へ」ボタン9bがクリックされると、次に説明するログイン画面に遷移する。
【0072】
図6は、認証システム1による本パスワード発行処理の主な流れを示すフローチャートである。まず、ユーザにより、図10に示す仮パスワード通知画面内の「次へ」ボタン10bがクリックされると、ユーザ端末2は、ログイン画面の取得要求を認証システム1に送信する。認証システム1は、ユーザ端末2からログイン画面の取得要求を受け付けると(STEP601)、認証システム1へのログイン画面を送信する(STEP602)。
【0073】
図11は、ユーザ端末2のブラウザ上に表示されたログイン画面の一例を示す図である。同図に示すように、ログイン画面には、ユーザIDの入力欄11aと、パスワードの入力欄11bとが設けられ、パスワードの入力欄11bには、仮パスワード又は本パスワードを入力することができるように構成されている。ユーザは、ユーザIDの入力欄11aに取得したユーザIDを入力するとともに、パスワードの入力欄11bに取得した仮パスワードを入力して、「OK」ボタン11cをクリックすることができる。「OK」ボタン11cがクリックされると、ユーザ端末2は、入力されたユーザIDとパスワードを認証システム1に送信する。
【0074】
認証システム1は、ユーザIDとパスワードとを受け付けると(STEP603)、受け付けたユーザIDと、ユーザDB12に記憶されたユーザIDとを照合する(STEP604)。そして、認証システム1は、照合結果が一致する場合には、このユーザIDをキーに、ユーザ情報を特定し、受け付けたパスワードとユーザDB12に記憶したパスワードとを照合する(STEP605)、ユーザIDの照合結果が一致しない場合には、エラーメッセージをユーザ端末2に送信し、処理を中止する。
【0075】
認証システム1は、パスワードの照合結果が一致する場合には、次に、このパスワードが仮パスワードであるか否かを判断し(STEP606)、仮パスワードであるか否かを判断する場合には、仮パスワードから本パスワードへの変更要求をユーザ端末2に送信する(STEP607)。
【0076】
図12は、ユーザ端末2のブラウザ上に表示された本パスワードへの変更要求画面の一例を示す図である。同図に示すように、本パスワードへの変更要求画面には、仮パスワードから本パスワードへの変更を促す旨12aが表示されている。また、ユーザは、「OK」ボタン12bをクリックすることができる。「OK」ボタン12bがクリックされると、ユーザ端末2は、本パスワードへの変更要求を認証システム1に送信する。
【0077】
認証システム1は、ユーザ端末2から本パスワードへの変更要求を受け付けると(STEP608)、パスワード変更画面をユーザ端末2に送信する(STEP609)。
【0078】
図13は、ユーザ端末2のブラウザ上に表示されたパスワード変更画面の一例を示す図である。同図に示すように、パスワード変更画面には、ユーザIDを入力する欄13a、旧パスワードを入力する欄13b、新パスワードを入力する欄13c、及び再入力用の新パスワードを入力する欄13dが設けられている。ユーザは、ユーザIDを入力する欄13a及び旧パスワードを入力する欄13bには、既に取得したユーザID及び仮パスワードを入力するとともに、新パスワードを入力する欄13c、13dには、所望する本パスワードを入力することができる。ユーザが、これらの欄に該当するデータを入力した後、「OK」ボタン13eを選択すると、ユーザ端末2は、入力された各データを認証システム1に送信する。
【0079】
認証システム1は、パスワード変更画面に入力された各データを受け付けると(STEP610)、送信されたユーザIDをユーザDB12のユーザIDと照合し(STEP611)、この照合結果が一致する場合には、送信された仮パスワードとユーザDB12に記憶された仮パスワードを照合する(STEP612)。そして、認証システム1は、仮パスワードの照合結果が一致する場合には、送信された本パスワードと送信された再入力用の本パスワードとを照合し(STEP613)、この照合結果が一致する場合には、本パスワード13cに入力された本パスワードをユーザDB12に記憶する(STEP614)。また、認証システム1は、本パスワードが登録された旨をユーザDB12に記憶するとともに、ユーザ端末12に送信する。
【0080】
以上のように、本実施形態によれば、ユーザがパスワードを取得する際に、合言葉パスワードの質問を提示して、これに対する回答の入力を要求することとしているので、仮にサービスを申し込んでからユーザIDを取得するまでの間に長いタイムラグが生じた場合でも、利用者は提示された合言葉パスワードの質問を見れば入力すべき回答を容易に思い出すことができるようになる。従って、合言葉パスワードを忘れることによりパスワードを取得することができないといった事態を回避することが可能になる。
【0081】
また、本実施形態によれば、ユーザIDと合言葉パスワードに基づいてまず仮パスワードを取得し、次に、この取得した仮パスワードを所望する本パスワードに変更することとしているので、ユーザがシステムの利用を開始する際のセキュリティが厳しくなり、アクセス権限のない第三者による侵入や、それに伴うデータの漏洩及び破壊などをより防止することができるようになる。
【0082】
さらにまた、本実施形態によれば、仮パスワードを付与した後は、ユーザが通常のログイン画面にログインすることにより、仮パスワードから本パスワードへの変更を行うこととしているので、仮パスワード及び本パスワードを用いる既存のシステムインフラストラクチャを利用することができる結果、開発コストを低コストに抑えることができるようになる。
【0083】
[第2の実施形態]
本実施形態は、仮パスワードの発行及びユーザIDの発行に関する上記実施形態の応用である。すなわち、上記実施形態では、合言葉パスワードの照合結果が一致する場合には、まず仮パスワードを発行し、その後、この仮パスワードにてログイン画面にログインすることにより本パスワードへの変更を行うものとして説明した。しかし、本実施形態では、合言葉パスワードの照合結果が一致した段階で、仮パスワードを発行せずに、本パスワードを発行するように構成している。これにより、仮パスワードの取得、及び取得した仮パスワードを本パスワードへ変更する作業が不要となるので、パスワード取得時のセキュリティは合言葉パスワードによって維持しつつ、登録手続を簡易化することによってユーザの利便性を向上することができるようになる。
【0084】
また、上記実施形態では、仮パスワード取得前にユーザIDをユーザに通知することとしているが、本実施形態では本パスワードの発行とともにユーザIDを発行し、これを通知するように構成している。本パスワード発行前の段階では、本パスワード取得画面を指定するURLによって、ユーザを一意的に特定することができるため、本パスワードを取得してシステムにログインする際に、ユーザIDがユーザに通知されていれば十分だからである。以下、かかる構成における認証システム1について説明する。
【0085】
図14は、本認証システム1による本パスワード発行処理の他の例を示すフローチャートである。なお、本パスワード取得画面を指定するURLを受け付ける処理(STEP1402)までは、図5において仮パスワードの取得要求を受け付ける処理(STEP502)と同様の流れである。
【0086】
認証システム1は、本パスワードの取得要求を受け付けると(STEP1402)、ユーザDB12から合言葉パスワードの質問情報のデータを送信し(STEP1403)、これに対する回答情報のデータを受信すると(STEP1404)、回答情報の照合を行う(STEP1405)。そして、照合結果が一致する場合には、認証システム1は、本パスワード登録画面を送信する(STEP1406)。
【0087】
図15は、ユーザ端末2のブラウザ上に表示された本パスワード登録画面の構成の一例を示す図である。同図に示すように、本パスワード登録画面には、本パスワードの入力欄15aと、再入力用の入力欄15bとが設けられている。ユーザは、本パスワードの入力欄15a、15bに、所望する本パスワードを入力し、「OK」ボタン15cを選択することができる。「OK」ボタン15cが選択されると、入力された本パスワードが認証システム1に送信される。
【0088】
認証システム1は、本パスワードを受け付けると(STEP1407)、送信された本パスワードと送信された再入力用の本パスワードとを照合し(STEP1408)、この照合結果が一致する場合には、本パスワード13cに入力された本パスワードをユーザDB12に記憶する(STEP1409)。また、ユーザIDを発行し、本パスワードとともにユーザIDをユーザ端末2に送信する(STEP1410)。ユーザ端末2は、本パスワードとユーザIDを受け付けると、ブラウザ上に表示する。
【0089】
ユーザは、ブラウザ上に表示された本パスワード及びユーザIDを確認し、これ以後、この本パスワード及びユーザIDを用いて、認証システムにログインすることができる。
【0090】
以上のように、本実施形態によれば、ユーザIDの入力作業、及び仮パスワードの取得や取得した仮パスワードを本パスワードへ変更する作業が不要になる。従って、本パスワード取得時のセキュリティは合言葉パスワードによって維持しながら、認証システム利用開始時の登録手続を簡易な方法で済ませることができるので、ユーザの利便性を向上することができるようになる。
【0091】
なお、合言葉パスワードによる照合結果が一致する場合に、仮パスワードを発行する場合には、仮パスワードの発行とともにユーザIDを発行し、これをユーザに通知するようにすることもできる。この場合、ユーザは、取得した仮パスワードとユーザIDとを用いてログイン画面にログインした後、仮パスワードを本パスワードへ変更する。
【0092】
[第3の実施形態]
本実施形態は、上記各実施形態に対する応用である。すなわち、本実施形態の要旨は、ユーザのパスワード取得状況を管理するとともに、その状況に応じて所定の電子メールをユーザに送信することを特徴としている。
【0093】
すなわち、認証システム1は、ユーザのパスワード取得状況を管理し、例えば、仮パスワード又は本パスワードが未取得状況にあるユーザに対しては、仮パスワードの取得を促す電子メールや仮パスワードから本パスワードへの変更を促す電子メールを送信する。また、認証システム1は、同一の本パスワードを長期間使用しているユーザに対しては、本パスワードの更新を促す電子メールを送信する。
【0094】
このように、ユーザに対して適宜パスワードの変更及びその重要性を促すことにより、ユーザ自身のセキュリティ意識を向上させることができるようになる。さらに、ユーザにより適宜パスワードが変更されるので、第三者によるパスワード解析作業の継続が困難になるとともに、仮にパスワードが盗難に合ったような場合でも、不正アクセスが繰り返される事態を回避できるようになる。以下、かかる構成における認証システム1について説明する。
【0095】
図16は、本認証システム1によるパスワード管理を促す電子メール送信処理の主な流れを示すフローチャートである。本実施形態におけるパスワード管理を促す電子メール(以下、「パスワード管理メール」という。)の送信処理は、予め設定された任意のタイミング(例えば、毎日午前0時)に基づいて行うものとする。認証システム1は、まず、ユーザDB12のステータス133を参照し(STEP1601)、ユーザID発行通知メールが送信済みであるか否かを判断する(STEP1602)。具体的には、認証システム1は、ユーザDB12のステータス133を参照し、ステータス133に「null」の値が設定されている場合には、ユーザID発行通知メールが送信されていないと判断し、ステータス133に「null」以外の値が設定されている場合には、ユーザID発行通知メールが送信されていると判断するものとする。
【0096】
認証システム1は、ユーザID発行通知メールが送信済みであると判断する場合には、次に、ユーザが仮パスワードを取得したか否かを判断する(STEP1603)。具体的には、認証システム1は、ステータス133に「仮パスワード未取得」の値が設定されている場合には、ユーザが仮パスワードを取得していない、即ちユーザにユーザID発行通知メールが送信された状態で手続きが止まっていると判断する。同様に、ステータス133に「仮パスワード取得済み」の値が設定されている場合には、ユーザが本パスワードを取得していない、即ちユーザが仮パスワードを取得した状態で手続きが止まっていると判断する。
【0097】
認証システム1は、ユーザが仮パスワードを取得していないと判断する場合には、ユーザID発行通知メールを送信してから所定の時間(例えば、1週間)が経過したか否かを判断し(STEP1604)、所定の時間が経過していると判断する場合には、ユーザのアドレスに仮パスワードの取得を促す旨の電子メールを送信する(STEP1605)。図17は、仮パスワードの取得を促す電子メールの内容を示す一例である。なお、本実施形態におけるユーザDB12は、ユーザID発行通知メールを送信した日時を記憶しており(図示せず)、認証システム1は、この送信日時に基づいて所定の時間を経過したか否かを判断する。メール送信後の所定の時間は、仮パスワード取得作業に要するユーザの作業時間及び第三者によるユーザIDの盗難防止などを考慮して任意に設定することができるものとする。
【0098】
一方、認証システム1は、ユーザが仮パスワードを取得していると判断する場合には、次に、ユーザが本パスワードを取得したか否かを判断する(STEP1606)。具体的には、認証システム1は、ステータス133に「本パスワード取得済み」の値が設定されている場合には、ユーザが本パスワードを取得していると判断し、ステータス133に「仮パスワード取得済み」の値が設定されている場合には、ユーザが本パスワードを取得していないと判断する。認証システム1は、ユーザが本パスワードを取得していないと判断する場合には、ユーザが仮パスワードを取得してから所定の時間が経過したか否かを判断し(STEP1607)、所定の時間を経過していると判断する場合には、ユーザのアドレスに仮パスワードから本パスワードへの切り替えを促す旨の電子メールを送信する(STEP1608)。なお、本実施形態におけるユーザDB12は、ユーザが仮パスワードを取得した日時を記憶しており(図示せず)、認証システム1は、この取得日時に基づいて所定の時間を経過したか否かを判断する。また、仮パスワード取得後の所定の時間は、仮パスワードの有効期間及び第三者による仮パスワードの盗難防止などを考慮して任意に設定することができるものとする。
【0099】
さらに、認証システム1は、ユーザが本パスワードを取得していると判断する場合には、ユーザが本パスワードを取得してから所定の時間が経過したか否かを判断し(STEP1609)、所定の経過を経過していると判断する場合には、ユーザのアドレスにパスワードの更新を促す旨の電子メールを送信する(STEP1610)。なお、本実施形態におけるユーザDB12は、ユーザが本パスワードを取得した日時を記憶しており(図示せず)、認証システム1は、この取得日時に基づいて所定の時間を経過したか否かを判断する。また、本パスワード取得後の所定の時間は、第三者によるパスワード解析作業及び不正アクセスの繰り返しを回避する一方、本パスワードの変更作業に要するユーザの負担を考慮して、任意に設定することができるものとする。なお、上述した処理の流れは、動作に矛盾が生じない限り、処理の順序を入れ替えまたは並行動作するように構成してもよい。
【0100】
以上によれば、ユーザが、ユーザID発行通知メールを受け取った後も仮パスワードを取得していなかったり、仮パスワードを取得したものの本パスワードへの変更を行っていないような場合には、認証システム1からユーザへ仮パスワードの取得や本パスワードへの変更を促す旨のメールが送信される。また、ユーザが、本パスワードを取得後、同じパスワードを継続して使用しているような場合には、認証システム1からユーザへ本パスワードの更新を促す旨のメールが送信される。従って、ユーザに対して適切なシステムの利用やパスワードの変更を促すことができるので、ユーザ自身のセキュリティ意識が向上するとともに、第三者によるパスワード解析作業の継続が困難になる。さらに、仮にパスワードが盗難に合ったような場合でも、不正アクセスが繰り返される事態を回避できるようになる。
【0101】
上記実施形態は、本発明を説明するための例示であり、本発明を上記実施形態にのみ限定する趣旨ではない。本発明は、その要旨を逸脱しない限り、さまざまな形態で実施することができる。例えば、上記機能実現手段の動作をシーケンシャルに説明したが、特にこれにこだわるものではない。従って、動作に矛盾が生じない限り、処理の順序を入れ替えまたは並行動作するように構成しても良い。
【0102】
[その他の実施形態]
上記実施形態では、合言葉パスワードとして、第1の認証情報(質問)を提示するとともに、第2の認証情報(回答)の入力を促すものとして説明した。しかし、本発明はこれに限られず、例えば、第2の認証情報(回答)をユーザに提示して、第1の認証情報(質問)の入力を促すように構成することもできる。
【0103】
すなわち、認証システム1は、パスワード取得要求を受け付けると、所定の条件に従って、第1の認証情報(質問)及び第2の認証情報(回答)のうち、ユーザに提示する認証情報を決定する。そして、認証システム1は、決定した第1の認証情報(質問)あるいは第2の認証情報(回答)をユーザに提示する。認証システム1は、第1の認証情報(質問)を提示する場合には、第2の認証情報(回答)の入力を促し、第2の認証情報(回答)を提示する場合には、第1の認証情報(質問)の入力を促す。そして、第1の認証情報(質問)の入力を促した場合には、入力された第1の認証情報(質問)と、ユーザDB12に記憶された第1の認証情報(質問)とを照合する。
【0104】
具体的には、認証システム1は、パスワード取得要求を受け付けると、例えば所定の確率的手法に従って、ユーザに提示する認証情報を決定する。ここで、認証システム1が、第2の認証情報(回答)を提示すると決定した場合には、ユーザDB12から該当する第2の認証情報(回答)、例えば「19990101」を読み出してこれを提示するとともに、ユーザに第1の認証情報(質問)の入力を促す。ユーザは、提示された「19990101」を見て、これは生年月日であると判断することができるので、所定の入力欄に「生年月日」を入力する。認証システム1は、入力された「生年月日」とユーザDB12に記憶された第1の認証情報(質問)とを照合する。
【0105】
以上によれば、第1の認証情報及び第2の認証情報のうち、ユーザに提示する認証情報が、認証システム1によって任意に決定されるので、ユーザ以外の利用者には、提示された認証情報が質問なのか回答なのか判断することが難しくなり、その結果、パスワード取得時のセキュリティをより厳しくすることができるようになる。
【0106】
【発明の効果】
本発明によれば、ユーザがパスワードを取得する際に、合言葉パスワードの質問を提示して、これに対する回答の入力を要求することとしているので、仮にサービスを申し込んでからユーザIDを取得するまでの間に長いタイムラグが生じた場合でも、利用者は提示された合言葉パスワードの質問を見れば入力すべき回答を容易に思い出すことができるようになる。従って、合言葉パスワードを忘れることによりパスワードを取得することができないといった事態を回避することが可能になる。
【図面の簡単な説明】
【図1】 本実施形態に係る認証システムの全体的な概略構成を示すブロックダイアグラムである。
【図2】 本実施形態に係る認証方法のワークフロー図である。
【図3】 認証システム1が管理するユーザDB12のデータ構造の一例を示す図である。
【図4】 認証システム1によるユーザ情報登録処理の主な流れを示すフローチャートである。
【図5】 認証システム1による仮パスワード発行処理の主な流れを示すフローチャートである。
【図6】 認証システム1による本パスワード発行処理の主な流れを示すフローチャートである。
【図7】 ユーザID発行通知メールのメールコンテンツの一例を示す図である。
【図8】 ユーザ端末2のブラウザ上に表示された仮パスワードの取得画面の一例を示す図である。
【図9】 ユーザ端末2のブラウザ上に表示された合言葉回答データの入力を促す画面の一例を示す図である。
【図10】 ユーザ端末2のブラウザ上に表示された仮パスワード通知画面の一例を示す図である。
【図11】 ユーザ端末2のブラウザ上に表示されたログイン画面の一例を示す図である。
【図12】 ユーザ端末2のブラウザ上に表示された本パスワードへの変更要求画面の一例を示す図である。
【図13】 ユーザ端末2のブラウザ上に表示されたパスワード変更画面の一例を示す図である。
【図14】 本認証システム1による本パスワード発行処理の他の例を示すフローチャートである。
【図15】 ユーザ端末2のブラウザ上に表示された本パスワード登録画面の構成の一例を示す図である。
【図16】 本認証システム1によるパスワード管理メール送信処理の主な流れを示すフローチャートである。
【図17】 仮パスワードの取得を促す電子メールの内容を示す一例である。
【符号の説明】
1…認証システム
2…ユーザ端末
3…ネットワーク
10…ユーザ登録手段
11…パスワード発行手段
12…ユーザデータベース
13…コンテンツデータベース
21…ブラウザソフト
101…ユーザ情報登録部
102…ユーザID発行部
103…メール送信部
111…認証処理部
112…パスワード発行部
【発明の属する技術分野】
本発明は、ネットワークを介して所定のサービスを利用する利用者の認証方法及びこの方法を実現するためのシステムに関し、特に、利用者に対してパスワードを発行する認証方法及びこの方法を実現するためのシステムに関する。
【0002】
【従来の技術】
インターネット等のネットワークにおいては、個人情報や企業情報など、漏洩させてはならない情報を悪意の第三者から守りつつ、その情報を確実に維持し、いつでも有効利用できる状態を保つことが必要である。このようなネットワークにおけるセキュリティ対策の一例として、従来、ユーザIDやパスワードを用いたユーザの認証方法が採用されている。この認証方法は、ネットワークを介して所定のシステムにログインしようとする利用者に対して、ユーザID及びパスワードの入力を要求し、この入力されたユーザID及びパスワードに基づいて当該利用者が真のユーザであるか否かを判断するものである。
【0003】
ところで、近年、インターネット等のネットワークを介して多種多様なシステムによるサービスが利用者に提供されており、その中には、上述した個人情報や企業情報などを取り扱うサービスもある。そして、かかるサービスにおけるセキュリティ対策としてユーザID及びパスワードを用いたユーザの認証方法が採用されている場合には、利用者に対して、そのサービスを利用する前にユーザID及びパスワードを取得するための登録手続を要求する場合が多い。
【0004】
例えば、金融機関が提供するインターネットショッピング決済サービスにおける登録手続及び認証方法について説明する。まず、当該サービスの利用を希望する利用者は、金融機関が予め用意した申込書に必要事項を記入し、当該金融機関に郵送する。この申込書には、利用者の氏名、口座情報、メールアドレス、届出印、仮パスワード等の個人情報を記載する。金融機関は、この申込書を受け付けると、利用者の与信調査等を行った後、利用者の情報を所定のデータベースに登録するとともに、利用者を一意的に特定するユーザIDを発行する。そして、このユーザIDを、利用者が申請書に記載したメールアドレスに対して送信する。
【0005】
利用者は、メールを受信して当該サービスを利用するためのユーザIDを取得すると、指定されたWebページにアクセスして所定の操作を行うことにより、仮パスワードを本パスワードに変更する。仮パスワードから本パスワードへの変更の際に、利用者にはユーザID及び仮パスワードの入力が要求される。そして、利用者が入力したユーザID及び仮パスワードの照合結果が妥当であると判断された場合に(利用者が申込書を提出した本人であると認証された場合に)、仮パスワードから本パスワードへの変更が認められる。これにより、利用者が所定のサービスを利用するための登録手続が完了し、これ以後、利用者は、取得したユーザID及び本パスワードを用いて当該サービスを利用することができるようになる。
【0006】
このように、ネットワークを介して所定のシステムによりサービスを提供する場合には、利用者を一意的に特定するユーザIDやパスワードを発行し、利用者が所定のサービスを利用する際に(すなわち、システムにログインする際に)、そのユーザID及びパスワードを利用者に入力させてその利用者を認証することにより、外部からの侵入や、それに伴うデータの漏洩や破壊などを防止している。
【0007】
なお、以上のようなサービスの申込は、申込書の郵送に限らず、申込書と実質同一内容のWebページに必要事項を入力することにより行う場合もある。また、仮パスワードは、申込時に利用者が申請する場合に限られず、サービスの提供者側から付与される場合もある。
【0008】
【発明が解決しようとする課題】
しかしながら、上述したユーザID及びパスワードを用いる認証方法における登録手続においては、以下に述べるような問題があった。すなわち、利用者が所定のシステムによるサービスの利用申込を行った時点から、ユーザIDを受け取ってパスワードを取得する時点までの間には、一定のタイムラグが生じる場合が多い。
【0009】
なぜなら、システムを運用する側では、郵送等による利用者からの申込書を受け付けた後、必要な利用者情報をデータベースに登録したり、ユーザIDを発行して利用者に通知したりする作業を行う必要があり、かかる作業には所定の時間を要するからである。さらに、利用者に提供するシステムの内容によっては、そのシステムの利用を許可するか否かについて利用者の与信調査や内部審査などを行う必要があるため、かかる場合には、利用者が、申込書を発送してからユーザIDを受け取るまでに、長いタイムラグ(例えば、約1ヶ月)が経過している場合もある。
【0010】
このように、利用者が申込書を発送してからユーザIDを受け取るまでに生じるタイムラグが長い場合には、いざ利用者がユーザIDを受け取って本パスワードを取得しようとした際に、申込書に記載した仮パスワードを忘れてしまったり、この仮パスワードを書き留めていたメモを紛失してしまったりという事態が生じやすかった。
【0011】
特に、仮パスワードは、第三者による盗難を防止すべく所定桁数以上の数字やアルファベットの組み合わせから構成されるようにシステム側が規定している場合が多く、利用者もまた、それを受けて、数字やアルファベットのランダムな配列を意識して仮パスワードを作成する場合が多い。従って、自ら作成した仮パスワードであっても、時間の経過とともに、その内容を思い出すことが困難となりがちであった。さらに、仮パスワードがシステム側によって付与されたような場合には、その仮パスワードを書き留めていたメモ等が存在しなければ、利用者が思い出すことはほぼ不可能であった。
【0012】
このような場合、利用者は、仮パスワードを入力することができないため、本パスワードを取得することができず、その結果、登録手続を最初からやり直したり、仮パスワードをシステム担当者に問い合わせたりしなければならなかった。サービスを実際に利用する前に、このようなハプニングが生じることは、ユーザにとって煩わしいものであると同時に非常に面倒なものでもあった。一方、システムを運用する側にとっても、仮パスワードを忘れてしまったという問い合わせにその都度対処することは、煩雑な作業であるとともに面倒な作業でもあった。
【0013】
このような事態を鑑み、例えば、登録手続において、通知したユーザIDのみに基づいてパスワードを取得させる方法も考えられる。しかし、かかる場合には、例えば、ユーザIDが真の利用者とは異なる利用者に拾得され不正に利用された場合に、パスワードの取得を申請する者が真の利用者か否かを判断することが困難となってしまう。従って、パスワードを付与する際のセキュリティを維持するためには、やはりユーザID以外の認証情報も使用して真の利用者を確認することが望ましい。
【0014】
そこで、本発明の課題は、パスワードを用いた認証方法における登録手続において、所定の認証情報を用いて真の利用者を認証する一方、利用者が滞りなくパスワードを取得することができる認証方法及びそれを実現するシステムを提供することにある。
【0015】
【課題を解決するための手段】
本発明の要旨は、利用者からの申請に基づく第1の認証情報と第2の認証情報とを対応付けた合言葉パスワードを記憶し、利用者からパスワードの取得要求を受け付けると、合言葉パスワードの第1の認証情報を利用者に提示するとともに第2の認証情報の入力を利用者に促し、利用者が入力した第2の認証情報を受け付けると、受け付けた第2の認証情報と提示した第1の認証情報に対応づけて記憶された第2の認証情報とを照合し、照合結果が一致する場合に、所定のパスワードを発行することである。
【0016】
具体的には、本発明に係る認証システムは、パスワードを用いてユーザを認証する認証システムにおいて、ユーザの申請に基づく第1の認証情報及び第2の認証情報を対応付けて記憶する記憶手段と、前記ユーザから新規パスワードの取得要求を受け付ける受付手段と、前記受付手段が受け付けた取得要求に基づいて特定される前記第1の認証情報をユーザに提示するとともに、提示された第1の認証情報に対応する第2の認証情報の入力をユーザに促す第1の入力手段と、前記第1の入力手段により入力された第2の認証情報を受け付けると、前記受け付けた第2の認証情報と前記提示した第1の認証情報に対応付けて前記記憶手段が記憶する第2の認証情報とを照合する照合手段と、前記照合手段による照合結果が一致する場合には、前記新規パスワードを発行する発行手段とを備えることを特徴とする。
【0017】
前記発行手段は、前記照合手段による照合結果が一致する場合には、ユーザを一意的に特定する仮パスワードを発行するとともに、前記発行した仮パスワードをユーザに通知し、前記ユーザから前記仮パスワードを本パスワードへ変更する要求を受け付けると、前記仮パスワード及び所望する本パスワードの入力をユーザに促す第2の入力手段と、前記第2の入力手段により入力された仮パスワード及び本パスワードを受け付けると、前記受け付けた仮パスワードと前記発行手段が発行した仮パスワードとを照合し、照合結果が一致する場合には、前記仮パスワードを前記受け付けた本パスワードへ変更する変更手段とをさらに備えることが望ましい。
【0018】
また、前記発行手段は、前記照合手段による照合結果が一致する場合には、所望する本パスワードの入力をユーザに促し、前記ユーザが入力した本パスワードを受け付けると、前記受け付けた本パスワードに基づいて新規本パスワードを発行することが望ましい。
【0019】
また、前記認証システムは、前記ユーザを一意的に特定するユーザIDを発行するとともに、前記発行したユーザIDを前記ユーザに通知する通知手段をさらに備え、前記第1の入力手段は、前記受付手段が前記ユーザから新規パスワードの取得要求を受け付けると、前記ユーザにユーザIDの入力を促し、入力されたユーザIDと前記通知手段が通知したユーザIDとを照合し、照合結果が一致する場合には、前記受付手段が受け付けた取得要求に基づいて特定される前記第1の認証情報をユーザに提示するとともに、提示された第1の認証情報に対応する第2の認証情報の入力をユーザに促すことが望ましい。
【0020】
また、前記発行手段は、前記照合手段による照合結果が一致する場合には、新規本パスワードと前記ユーザを一意的に特定するユーザIDとを発行し、前記発行した新規本パスワードとユーザIDとを前記ユーザに通知することが望ましい。
【0021】
また、前記第1の認証情報は質問形式にて構成され、前記第2の認証情報は前記第1の認証情報に対する回答形式にて構成されていることが望ましい。
【0022】
また、前記第1の入力手段は、所定の条件に従って、前記第1の認証情報及び前記第2の認証情報のうち前記ユーザに提示する一の認証情報を決定し、決定した一の認証情報をユーザに提示するとともに、他の認証情報の入力をユーザに促すこともできる。
【0023】
また、本発明に係る認証システムは、パスワードを用いてユーザを認証するサーバと、前記サーバにログインするクライアントから構成される認証システムにおいて、前記サーバが、ユーザの申請に基づく第1の認証情報及び第2の認証情報を対応付けて記憶し、前記クライアントが、前記サーバに新規パスワードの取得要求を送信し、前記サーバが、前記クライアントから送信される新規パスワードの取得要求を受け付けると、前記受け付けた取得要求に基づいて特定される前記第1の認証情報を前記クライアントに送信し、前記クライアントが、前記サーバから送信される前記第1の認証情報に対応する第2の認証情報の入力を前記ユーザから受け付けて、これを前記サーバに送信し、前記サーバが、前記クライアントから送信される前記第2の認証情報を受け付けると、前記受け付けた第2の認証情報と前記送信した第1の認証情報に対応付けて記憶する第2の認証情報とを照合し、照合結果が一致する場合には、前記新規パスワードを発行することを特徴とする。
【0024】
また、本発明は認証方法の発明としても把握することができ、具体的には、ユーザの申請に基づく第1の認証情報及び第2の認証情報を対応付けて記憶する段階と、前記ユーザから新規パスワードの取得要求を受け付ける段階と、前記受け付けた取得要求に基づいて特定される前記第1の認証情報をユーザに提示するとともに、提示された第1の認証情報に対応する第2の認証情報の入力をユーザに促す段階と、前記ユーザにより入力された第2の認証情報を受け付けると、前記受け付けた第2の認証情報と前記提示した第1の認証情報に対応付けて記憶する第2の認証情報とを照合する段階と、照合結果が一致する場合には、前記新規パスワードを発行する段階とを備えることを特徴とする。
【0025】
さらにまた、本発明は各機能をコンピュータに実現させるプログラムの発明としても把握することができ、具体的には、ユーザの申請に基づく第1の認証情報及び第2の認証情報を対応付けて記憶する機能と、前記ユーザから新規パスワードの取得要求を受け付ける機能と、前記受け付けた取得要求に基づいて特定される前記第1の認証情報をユーザに提示するとともに、提示された第1の認証情報に対応する第2の認証情報の入力をユーザに促す機能と、前記ユーザにより入力された第2の認証情報を受け付けると、前記受け付けた第2の認証情報と前記提示した第1の認証情報に対応付けて記憶する第2の認証情報とを照合する機能と、照合結果が一致する場合には、前記新規パスワードを発行する機能とをコンピュータに実現させるプログラムであることを特徴とする。
【0026】
なお、本明細書において、手段とは、単に物理的手段を意味するものではなく、その手段が有する機能をソフトウェアによって実現する場合も含む。また、1つの手段が有する機能が2つ以上の物理的手段により実現されても、2つ以上の手段の機能が1つの物理的手段により実現されても良い。
【0027】
【発明の実施の形態】
[第1の実施形態]
本実施形態は、利用者からの申請に基づく第1の認証情報と第2の認証情報とを対応付けた合言葉パスワードを記憶し、利用者からパスワードの取得要求を受け付けると、合言葉パスワードの第1の認証情報を利用者に提示するとともに第2の認証情報の入力を利用者に要求し、利用者が入力した第2の認証情報を受け付けると、受け付けた第2の認証情報と提示した第1の認証情報に対応づけて管理される第2の認証情報とを照合し、照合結果が一致する場合に、所定のパスワードを発行することを特徴としている。
【0028】
合言葉パスワードの第1の認証情報は、典型的には、質問形式で構成され、第2の認証情報は、回答形式で構成される。これにより、例えば、サービスの申込時からパスワード取得時までの間にタイムラグが生じている場合でも、合言葉パスワードは質問及び回答から構成されているので、利用者は提示された質問を見れば入力すべき回答を容易に思い出すことができる。従って、合言葉パスワードを忘れることによりパスワードを取得することができないといった事態を回避することが可能になる。
【0029】
なお、本実施形態における登録手続は、1)システムの利用申込、2)ユーザIDの通知、3)合言葉パスワードの認証、4)仮パスワードの取得、5)本パスワードの取得という手順に沿って進むものとする。すなわち、利用者は、ユーザIDを受け付けると、合言葉パスワード(質問に対する回答)に基づいて仮パスワードを取得し、この仮パスワードに基づいて所望する本パスワードを取得する。このように、利用者は、パスワードを2回変更することとなるので(合言葉パスワードから仮パスワードへ、仮パスワードから本パスワードへ)、システム利用開始時のセキュリティを厳しく維持することができるようになる。
【0030】
図1は、本実施形態に係る認証システムの全体的な概略構成を示すブロックダイアグラムである。同図に示すように、認証システム1は、典型的には、インターネット上のWWWシステムを利用したクライアント/サーバシステムとして実現される。さらに、本実施形態では、ビジネスアプリケーションソフトをネットワークを介してユーザに提供するサーバシステムと、そのビジネスアプリケーションソフト利用するクライアントから構成されている。
【0031】
すなわち、認証システム1(サーバシステム)には、ユーザ端末2から送られるHTTPによるメッセージを受け付けて、そのメッセージに対応した処理を行うためのWebサーバプログラムが実装されている。一方、ユーザ端末2(クライアントシステム)には、認証システム1にアクセスし、Webコンテンツを閲覧するためのブラウザプログラム21が実装されている。なお、ユーザ端末2には、携帯電話機のような携帯情報端末装置を用いることもできる。
【0032】
次に、認証システム1について詳細に説明する。認証システム1は、ユーザ登録手段10、パスワード発行手段11、ユーザデータベース12(以下、「ユーザDB12」という。)、及びコンテンツデータベース13(以下、「コンテンツDB13」という。)を備える。ユーザ登録手段10は、ユーザの申請に基づくユーザ情報をユーザデータベース12に登録し、ユーザID及びパスワード取得画面を指定するURLをユーザに電子メールにて送信する機能を有する。パスワード発行手段11は、ユーザ端末2からパスワード取得要求を受け付けると、ユーザの認証を行い、認証結果が妥当である場合に、パスワードを発行する機能を有する。
【0033】
ユーザ登録手段10は、ユーザ情報登録部101と、ユーザID作成部102と、メール送信部103とを備える。ユーザ情報登録部101は、ユーザ情報をユーザDB12に登録する。ユーザ情報は、ユーザに関する情報、例えば、氏名、会社名、電話番号、メールアドレス、合言葉パスワード(質問及び回答)などの情報を含んでいる。これらのユーザ情報は、ユーザから郵送された、あるいは認証システムの運営担当者がユーザから直接受け付けた認証システムの利用申込書や、ユーザ端末2から送信される利用申込書データに基づいて登録される。ユーザ情報登録部101は、ユーザDB12へのユーザ情報の登録作業が完了すると、その旨をユーザID作成部102に送出する。
【0034】
ユーザID作成部102は、ユーザDB12にユーザ情報が登録された旨を受け付けると、このユーザを一意的に特定するためのユーザIDを作成し、ユーザ情報と対応付けてユーザDB12に記憶する。また、ユーザID作成部102は、ユーザIDの発行を通知するメール(以下、「ユーザID発行通知メール」。)の送信を許可する旨、及びユーザによる認証システム1の利用開始日が指定されている場合にはその利用開始日を、ユーザDB12に登録する。
【0035】
メール送信部103は、予め指定されたタイミングで、ユーザID発行通知メールの送信処理を行う。まず、メール送信部103は、ユーザDB12を参照して、ユーザID発行通知メールの送信が許可されており、かつ利用開始日の条件を満たしているユーザIDを抽出する。そして、ユーザID作成部102は、条件に合致するユーザIDごとに、仮パスワード取得画面を指定するとともにユーザを一意的に特定可能なURLを生成し、ユーザID及びURLを含むメールコンテンツを作成する。そして、メール送信部103は、ユーザDB12からユーザIDに対応するメールアドレスを抽出し、これを作成したメールコンテンツの宛先ヘッダにセットしてメールを完成させると、このメールを送信する。送信されたメールは、ネットワーク3に送出され、そのメールアドレスが割り当てられたユーザ端末2により受信される。
【0036】
ユーザ端末2は、メール送信部103から送信されたメールを着信すると、ユーザの所定の操作に従ってそのメールコンテンツを画面上に表示する。ユーザは、発行されたユーザID及びURLを確認するとともに、そのメールコンテンツに含まれるURLを選択する。URLが選択されるとユーザ端末2に実装されたブラウザソフトが起動され、ユーザ端末2は、そのURLに従うWebコンテンツの取得要求を認証システム1に送信する。
【0037】
ここで、パスワード発行手段11は、認証処理部111とパスワード発行部112とを備える。認証処理部111は、所定の段階に応じた条件でユーザを認証する。具体的には、認証処理部111は、上述したユーザ端末2からのWebコンテンツの取得要求を受け付けると、これに応じてそのURLに従うWebコンテンツをユーザ端末2に送信するとともに、受け付けたURLに基づいてユーザDB12を参照してユーザIDを特定する。その後、認証処理部111は、ユーザID、合言葉パスワード、及び仮パスワード等の入力を段階に応じてユーザに促し、ユーザの入力したユーザID、合言葉パスワード、及び仮パスワード等とユーザDB12に記憶されたユーザID、合言葉パスワード、及び仮パスワード等が一致するか否かを照合する。そして、認証処理部111は、照合結果が一致する場合には、ユーザを真のユーザであると認証しその旨をパスワード発行部112に送出する一方、照合結果が一致しない場合には、ユーザを真のユーザであると認証せず処理を中止する。
【0038】
パスワード発行部112は、認証処理部111から、ユーザが認証された旨を受け付けると、所定の段階に応じて仮パスワード又は本パスワードを発行する。仮パスワードには、パスワード発行部112が予め設定された関数等に基づいて自動的に算出した値が用いられる。本パスワードには、ユーザが自ら申請した値が用いられる。また、パスワード発行部112は、発行した仮パスワード又は本パスワードをユーザDB13にユーザIDと対応付けて記憶するとともに、ユーザが仮パスワード及び本パスワードを取得した旨を記憶する。
【0039】
ユーザDB12は、ユーザに関する情報、例えば、氏名、会社名、電話番号、メールアドレスなどの情報を格納している。また、ユーザを認証するための合言葉パスワード(質問及び回答)、仮パスワード、及び本パスワードや、上述したURL、パスワードの取得状況を示すステータスフラグ等の情報を含み、これらの情報は、ユーザを一意的に特定するためのユーザIDと対応付けて管理される。
【0040】
コンテンツDB13は、ユーザに提供すべき画面を構成するWebコンテンツを格納している。これらのWebコンテンツは、例えばHTMLなどを用いて設計することができる。本実施形態では、Webコンテンツとして、ユーザが仮パスワードを取得するための仮パスワード取得画面や、仮パスワードから本パスワードへ変更するためのパスワード変更画面等が用意されている。これらの画面は、ユーザにユーザIDや合言葉パスワード(回答)等の入力を促して、その入力を受け付けるためのものである。これらの、Webコンテンツは、静的なデータとして予め用意されているものの他、CGIプログラムなどによって動的に生成することもできる。この、CGIプログラムは、WebサーバプログラムがHTTPにより特定のメッセージを受け付けた場合に実行されるプログラムであり、本実施形態では、認証処理部111における認証処理等を行う機能を有するプログラムが用意されている。
【0041】
以上のように構成される全体システムにおいて、本実施形態に係る認証システムの概略的なワークフローを説明すれば以下のとおりである。
【0042】
図2は、本実施形態に係る認証方法のワークフロー図である。なお、図中、ネットワークを介さず郵送等の手段を用いて行われる処理については点線で示している。
【0043】
まず、ユーザは、認証システム1を利用するにあたり、あらかじめ所定の事項を記載した利用申請書を提出する必要がある(S1)。利用申請書は、利用申請書を郵送又は認証システムの運営担当者に直接受渡すことによって提出することができる。あるいは、ユーザ端末2から認証システム1が提供する利用申請画面(図示せず)にアクセスし、所定の事項を入力することによって利用申請書を提出することもできる。利用申請書には、所定の事項として、氏名、会社名、電話番号、メールアドレス、合言葉パスワード(質問及び回答)などの情報を記載する。
【0044】
認証システム1の運営担当者は、利用申請書を入手すると、ユーザ情報(利用申請書に記載された所定の事項)の登録を行う前に、このユーザについて与信調査及び社内決済等の事前処理を行う。そして、この事前処理を通過したユーザ情報について、認証システム1の運営担当者は、ユーザDB12に登録する(S2)。認証システム1は、ユーザ情報の登録が完了すると、ユーザを一意的に特定可能なユーザIDを発行するとともに(S3)、ユーザID発行通知メールの送信を許可する旨をユーザDB12に記憶する。なお、認証システム1の運営担当者は、ユーザID発行通知メールの送信日時が指定されている場合には、指定されている送信日時をユーザDB12に登録する。
【0045】
認証システム1は、所定のタイミング(例えば、毎日午前0時)でメール送信処理を実行する。具体的には、認証システム1は、ユーザDB12を参照し、ユーザID発行通知メールの送信が許可されているユーザID(送信日時が指定されている場合には、更にその送信日時の条件を満たしているユーザID)をチェックする。そして、認証システム1は、該当するユーザID毎に、仮パスワード取得画面を指定するURLを作成し、このURLとユーザIDとを含むユーザID発行通知メールをユーザのメールアドレスに送信する(S4)。
【0046】
ユーザ端末2は、ユーザID発行通知メールを受信すると(S5)、そのメールコンテンツの内容を確認し、仮パスワードの申請を行う(S6)。なお、仮パスワードの申請は、メールコンテンツに記述されたURLを選択することにより行う。ユーザ端末2は、URLが選択されると、そのURLが指定する仮パスワード取得画面の取得要求を認証システム1に送信する。
【0047】
認証システム1は、URLが指定する仮パスワード取得画面の取得要求を受け付けると、このURLが指定する仮パスワード取得画面を送信する(S7)。また、このURLに基づいてユーザDB12を参照することによりユーザIDを特定する。
【0048】
ユーザ端末2は、送信された仮パスワード取得画面を受け付けると、これをユーザ端末2のブラウザ上に表示する。ユーザは、仮パスワード取得画面の指示に従いユーザIDを入力し、ユーザ端末2がこれを認証システム1に送信する(S8)。
【0049】
認証システム1は、ユーザ端末2からユーザIDを受け付けると、受け付けたユーザIDとURLにより特定したユーザIDとを照合し、照合結果が一致する場合には、次に、合言葉パスワードの質問を含む画面を送信する(S9)。
【0050】
ユーザ端末2は、合言葉パスワードの質問を含む画面を受け付けると、ブラウザ上にその画面を表示し、ユーザは、合言葉パスワードの質問に対応する回答を入力する(S8)。ユーザ端末2がこれを認証システム1に送信すると、認証システム1は、これを受け付けて、ユーザDB12に記憶された回答と照合する(S9)。
【0051】
認証システム1は、照合結果が一致する場合には、仮パスワードを発行してこれを送信し、照合結果が一致しない場合には、エラーメッセージを送信して、処理を中止する(S10)。ユーザ端末2は、仮パスワードを受け付けると、これをブラウザ上に表示し、ユーザは仮パスワードを取得する(S11)。
【0052】
次に、ユーザは、この取得した仮パスワードに基づいて、本パスワードの申請を行う(S12)。認証システム1は、本パスワードの申請を受け付けると(S13)、ユーザID及び仮パスワードの入力を促す画面を送信し、ユーザ端末2は、これを受け付けるとブラウザ上に表示する。ユーザは、この画面に従って、ユーザID及び仮パスワードを入力すると、ユーザ端末2は、入力されたユーザID及び仮パスワードを認証システム1に送信する(S14)
認証システム1はユーザDB12に記憶されたユーザID及び仮パスワードと照合し、照合結果が一致する場合には、本パスワードの入力を促す画面を送信し、照合結果が一致しない場合には、エラーメッセージを送信して処理を中止する(S15)。
【0053】
ユーザ端末1は、本パスワードの入力を促す画面を受け付けると、これをブラウザ上に表示し、ユーザがこの画面から所望する本パスワードを入力すると、これを認証システム1に送信する(S16)。認証システム1は、本パスワードを受信すると、これをユーザDB12に登録するとともに、本パスワードが登録された旨をユーザ端末2に送信する(S17)。
【0054】
以上によれば、ユーザが仮パスワードを取得する際に、ユーザに合言葉パスワードの質問が表示されるとともに、その質問に対する回答の入力が要求されるので、ユーザは入力すべき内容(回答)をその質問から容易に導き出すことができるようになる。
【0055】
図3は、認証システム1が管理するユーザDB12のデータ構造の一例を示す図である。ユーザDB12は、認証システム1を利用するユーザに関するデータを蓄積する。また、ユーザDB12は、ユーザを認証するために必要なデータから構成され、例えば、ユーザID121、氏名122、会社名123、電話番号124、メールアドレス125、合言葉質問126、合言葉回答127、URL128、仮パスワード129、及び本パスワード130等の項目を含んでいる。
【0056】
ユーザID121、氏名122、会社名123、電話番号124、メールアドレス125、合言葉質問126及び合言葉回答127の各項目には、利用申請書に記載されたデータが記憶される。また、仮パスワード129には、認証システム1が予め設定された関数等に基づいて自動的に算出した値が記憶され、本パスワード130には、ユーザが申請した値が記憶される。
【0057】
URL128には、仮パスワード取得画面を指定するとともに、ユーザを一意的に特定するためのパラメータが付与されたURLの文字列が記憶される。URL128に記憶される文字列は、全部でもよいし一部分(ユーザを特定可能な部分)でもよい。URL128は、認証システム1がURL128に記憶されたURLに基づいてユーザIDを特定するためのものであるから、ユーザを特定可能な部分が格納されていれば十分だからである。
【0058】
また、本実施形態では、ユーザDB12は、ユーザID発行通知メールの送信を制御する送信区分項目として、メールフラグ131及び日時情報132を含んでいる。メールフラグ131は、ユーザID発行通知メールの送信を許可するか否かを示すためのものであり、「有効」または「無効」のいずれかを示す値が保持される。日時情報132は、ユーザID発行通知メールの送信日時を指定するためのものであり、送信日時が指定されている場合には、その日時が、指定されていない場合には、null値が保持される。例えば、ユーザの登録契約が2001年9月10日で、ユーザの認証システム1へのアクセス許可日(開始日)が2001年10月1日である場合には、日時情報132には、「2001年10月1日」が設定される。この認証システム1は、メールフラグ131が「有効」、かつ処理時点で日時情報132の日時を経過している場合には、ユーザID発行通知メールを送信する。
【0059】
また、本実施形態では、ユーザDB12は、ステータス133を含んでいる。ステータス133は、利用申請書提出後のユーザの状況を示すフラグであり、「仮パスワードを取得していない」「仮パスワードを取得した」「本パスワードを取得していない」「本パスワードを取得した」などのユーザの状態を示す値が保持される。なお、このステータス133については、後の実施形態にて詳述する。
【0060】
認証システム1は、メールフラグ131及び日時情報132のデータに基づいて、ユーザID発行通知メールの送信の有無を判断し、送信すると判断する場合には、ユーザID121及びURL128のデータをメールアドレス125宛に送信する。そして、ユーザからURLに従う仮パスワードの取得要求を受け付けると、URL128を参照してユーザID121を特定し、ユーザIDの入力を促してユーザを認証する。続いて、合言葉質問126のデータをユーザに送信するとともに、これに対応する合言葉回答126のデータの入力を促す。そして、ユーザにより入力されたデータと、合言葉回答126に記憶されたデータとを照合し、照合結果が一致する場合には、仮パスワードを発行して仮パスワード129に記憶するとともに、「仮パスワード取得済み」をステータス133に記憶する。
【0061】
図4は、認証システム1によるユーザ情報登録処理の主な流れを示すフローチャートである。まず、認証システム1は、ユーザ情報の登録が完了すると(STEP401)、ユーザIDを発行する(STEP402)。次に、認証システム1は、メール送信処理を実行するか否かを判断する(STEP403)。本実施形態では、予め設定された所定のタイミング(午前0時)である場合には、メール送信処理を実行すると判断するものとするが、例えば、認証システム1の運営担当者の指示に基づいて、メール送信処理を実行するものとしてもよい。
【0062】
認証システム1は、メール送信処理を実行すると判断する場合には、所定のユーザIDについて、ユーザDB12のメールフラグに設定された値が有効であるか否かを判断し(STEP404)、有効であると判断する場合には、日時情報に設定された時間を経過しているか否かを判断する(STEP405)。そして、認証システム1は、日時情報に設定された時間を経過していると判断する場合には、仮パスワード取得画面を指定するとともにユーザを一意的に特定するURLを生成する(STEP406)。
【0063】
そして、認証システム1は、ユーザDB12を参照して、ユーザ情報(氏名122、会社名123、メールアドレス125等)を取得すると、ユーザID、URL、取得したユーザ情報に基づいてユーザIDの発行を通知するメールコンテンツを作成し(STEP408)、メールアドレスを宛先ヘッダにセットして(STEP409)、メールを送信する(STEP410)。
【0064】
図7は、ユーザID発行通知メールのメールコンテンツの一例を示す図である。同図に示すように、メールコンテンツは、ユーザIDが発行された旨を通知する文面と、発行されたユーザID7aを含んでいる。また、メールコンテンツは、仮パスワードを取得するためのWebコンテンツを指定するURL7bを含み、ユーザがそこから仮パスワードの取得を行うことができるように構成されている。
【0065】
図5は、認証システム1による仮パスワード発行処理の主な流れを示すフローチャートである。上述したように、認証システム1は、ユーザID及び仮パスワード取得画面を指定するURLを含むメールをユーザのメールアドレスに対して送信する(STEP501)。そして、このメールを受信したユーザ端末2から、メールに記載されたURLが指定する仮パスワード取得画面の取得要求を受け付けると(STEP502)、そのURLが指定する仮パスワードの取得画面をユーザ端末2に送信する(STEP503)。なお、認証システム1は、受け付けたURLに基づいてユーザDB12を参照することにより、ユーザIDを特定し、この特定したユーザIDを所定の領域に記憶する。
【0066】
図8は、ユーザ端末2のブラウザ上に表示された仮パスワードの取得画面の一例を示す図である。同図に示すように、仮パスワードの取得画面には、ユーザIDの入力欄8aが設けられている。ユーザは、この入力欄8aに、メールにて通知されたユーザIDを入力して、「次へ」ボタン8bをクリックすることができる。「次へ」ボタン7bがクリックされると、ユーザ端末2は、入力されたユーザIDを認証システム1に送信する。
【0067】
次に、仮パスワードの取得画面に入力されたユーザIDをユーザ端末2から受け付けると(STEP504)、この受け付けたユーザIDと、所定の領域に記憶されたユーザIDとを照合し(STEP505)、照合結果が一致する場合には、ユーザDB12からユーザIDに対応する合言葉パスワード(質問)を読み出して、これに対応する合言葉パスワード(回答)の入力を促す画面をユーザ端末2に送信する(STEP506)。
【0068】
図9は、ユーザ端末2のブラウザ上に表示された合言葉パスワード(回答)の入力を促す画面の一例を示す図である。同図に示すように、合言葉パスワード(回答)の入力を促す画面には、合言葉パスワード(質問)9aが表示されているとともに、これに対応する合言葉パスワード(回答)を入力する欄9b設けられている。ユーザは、この合言葉パスワード(回答)入力する欄9bに、表示された合言葉パスワード(質問)に対応する回答であって、利用申請書にて自分が申請した合言葉パスワード(回答)を入力して、「仮パスワード申請」ボタン9cをクリックすることができる。「仮パスワード申請」ボタン9cがクリックされると、ユーザ端末2は、入力された合言葉パスワード(回答)を認証システム1に送信する。
【0069】
合言葉パスワード(回答)がユーザ端末2から送信されると、認証システム1はこれを受け付けて(STEP507)、受け付けた合言葉パスワード(回答)と、ユーザDB12に記憶された合言葉パスワード(回答)とを照合する(STEP508)。
【0070】
認証システム1は、照合結果が一致する場合には、仮パスワードを発行し、ユーザ端末2に送信するとともに、ユーザDB12にユーザIDと対応付けて記憶する(STEP509)。また、認証システム1は、ユーザDB12に仮パスワードが取得された旨を記憶する。
【0071】
図10は、ユーザ端末2のブラウザ上に表示された仮パスワード通知画面の一例を示す図である。同図に示すように、仮パスワード通知画面には、仮パスワード10aが表示されている。また、[次のステップ]として、「次へ」ボタン10bの選択を促す旨が表示されている。ユーザは、この仮パスワード通知画面より発行された仮パスワードを確認すると、この仮パスワードをメモした後、「次へ」ボタン10bをクリックすることができる。この「次へ」ボタン9bがクリックされると、次に説明するログイン画面に遷移する。
【0072】
図6は、認証システム1による本パスワード発行処理の主な流れを示すフローチャートである。まず、ユーザにより、図10に示す仮パスワード通知画面内の「次へ」ボタン10bがクリックされると、ユーザ端末2は、ログイン画面の取得要求を認証システム1に送信する。認証システム1は、ユーザ端末2からログイン画面の取得要求を受け付けると(STEP601)、認証システム1へのログイン画面を送信する(STEP602)。
【0073】
図11は、ユーザ端末2のブラウザ上に表示されたログイン画面の一例を示す図である。同図に示すように、ログイン画面には、ユーザIDの入力欄11aと、パスワードの入力欄11bとが設けられ、パスワードの入力欄11bには、仮パスワード又は本パスワードを入力することができるように構成されている。ユーザは、ユーザIDの入力欄11aに取得したユーザIDを入力するとともに、パスワードの入力欄11bに取得した仮パスワードを入力して、「OK」ボタン11cをクリックすることができる。「OK」ボタン11cがクリックされると、ユーザ端末2は、入力されたユーザIDとパスワードを認証システム1に送信する。
【0074】
認証システム1は、ユーザIDとパスワードとを受け付けると(STEP603)、受け付けたユーザIDと、ユーザDB12に記憶されたユーザIDとを照合する(STEP604)。そして、認証システム1は、照合結果が一致する場合には、このユーザIDをキーに、ユーザ情報を特定し、受け付けたパスワードとユーザDB12に記憶したパスワードとを照合する(STEP605)、ユーザIDの照合結果が一致しない場合には、エラーメッセージをユーザ端末2に送信し、処理を中止する。
【0075】
認証システム1は、パスワードの照合結果が一致する場合には、次に、このパスワードが仮パスワードであるか否かを判断し(STEP606)、仮パスワードであるか否かを判断する場合には、仮パスワードから本パスワードへの変更要求をユーザ端末2に送信する(STEP607)。
【0076】
図12は、ユーザ端末2のブラウザ上に表示された本パスワードへの変更要求画面の一例を示す図である。同図に示すように、本パスワードへの変更要求画面には、仮パスワードから本パスワードへの変更を促す旨12aが表示されている。また、ユーザは、「OK」ボタン12bをクリックすることができる。「OK」ボタン12bがクリックされると、ユーザ端末2は、本パスワードへの変更要求を認証システム1に送信する。
【0077】
認証システム1は、ユーザ端末2から本パスワードへの変更要求を受け付けると(STEP608)、パスワード変更画面をユーザ端末2に送信する(STEP609)。
【0078】
図13は、ユーザ端末2のブラウザ上に表示されたパスワード変更画面の一例を示す図である。同図に示すように、パスワード変更画面には、ユーザIDを入力する欄13a、旧パスワードを入力する欄13b、新パスワードを入力する欄13c、及び再入力用の新パスワードを入力する欄13dが設けられている。ユーザは、ユーザIDを入力する欄13a及び旧パスワードを入力する欄13bには、既に取得したユーザID及び仮パスワードを入力するとともに、新パスワードを入力する欄13c、13dには、所望する本パスワードを入力することができる。ユーザが、これらの欄に該当するデータを入力した後、「OK」ボタン13eを選択すると、ユーザ端末2は、入力された各データを認証システム1に送信する。
【0079】
認証システム1は、パスワード変更画面に入力された各データを受け付けると(STEP610)、送信されたユーザIDをユーザDB12のユーザIDと照合し(STEP611)、この照合結果が一致する場合には、送信された仮パスワードとユーザDB12に記憶された仮パスワードを照合する(STEP612)。そして、認証システム1は、仮パスワードの照合結果が一致する場合には、送信された本パスワードと送信された再入力用の本パスワードとを照合し(STEP613)、この照合結果が一致する場合には、本パスワード13cに入力された本パスワードをユーザDB12に記憶する(STEP614)。また、認証システム1は、本パスワードが登録された旨をユーザDB12に記憶するとともに、ユーザ端末12に送信する。
【0080】
以上のように、本実施形態によれば、ユーザがパスワードを取得する際に、合言葉パスワードの質問を提示して、これに対する回答の入力を要求することとしているので、仮にサービスを申し込んでからユーザIDを取得するまでの間に長いタイムラグが生じた場合でも、利用者は提示された合言葉パスワードの質問を見れば入力すべき回答を容易に思い出すことができるようになる。従って、合言葉パスワードを忘れることによりパスワードを取得することができないといった事態を回避することが可能になる。
【0081】
また、本実施形態によれば、ユーザIDと合言葉パスワードに基づいてまず仮パスワードを取得し、次に、この取得した仮パスワードを所望する本パスワードに変更することとしているので、ユーザがシステムの利用を開始する際のセキュリティが厳しくなり、アクセス権限のない第三者による侵入や、それに伴うデータの漏洩及び破壊などをより防止することができるようになる。
【0082】
さらにまた、本実施形態によれば、仮パスワードを付与した後は、ユーザが通常のログイン画面にログインすることにより、仮パスワードから本パスワードへの変更を行うこととしているので、仮パスワード及び本パスワードを用いる既存のシステムインフラストラクチャを利用することができる結果、開発コストを低コストに抑えることができるようになる。
【0083】
[第2の実施形態]
本実施形態は、仮パスワードの発行及びユーザIDの発行に関する上記実施形態の応用である。すなわち、上記実施形態では、合言葉パスワードの照合結果が一致する場合には、まず仮パスワードを発行し、その後、この仮パスワードにてログイン画面にログインすることにより本パスワードへの変更を行うものとして説明した。しかし、本実施形態では、合言葉パスワードの照合結果が一致した段階で、仮パスワードを発行せずに、本パスワードを発行するように構成している。これにより、仮パスワードの取得、及び取得した仮パスワードを本パスワードへ変更する作業が不要となるので、パスワード取得時のセキュリティは合言葉パスワードによって維持しつつ、登録手続を簡易化することによってユーザの利便性を向上することができるようになる。
【0084】
また、上記実施形態では、仮パスワード取得前にユーザIDをユーザに通知することとしているが、本実施形態では本パスワードの発行とともにユーザIDを発行し、これを通知するように構成している。本パスワード発行前の段階では、本パスワード取得画面を指定するURLによって、ユーザを一意的に特定することができるため、本パスワードを取得してシステムにログインする際に、ユーザIDがユーザに通知されていれば十分だからである。以下、かかる構成における認証システム1について説明する。
【0085】
図14は、本認証システム1による本パスワード発行処理の他の例を示すフローチャートである。なお、本パスワード取得画面を指定するURLを受け付ける処理(STEP1402)までは、図5において仮パスワードの取得要求を受け付ける処理(STEP502)と同様の流れである。
【0086】
認証システム1は、本パスワードの取得要求を受け付けると(STEP1402)、ユーザDB12から合言葉パスワードの質問情報のデータを送信し(STEP1403)、これに対する回答情報のデータを受信すると(STEP1404)、回答情報の照合を行う(STEP1405)。そして、照合結果が一致する場合には、認証システム1は、本パスワード登録画面を送信する(STEP1406)。
【0087】
図15は、ユーザ端末2のブラウザ上に表示された本パスワード登録画面の構成の一例を示す図である。同図に示すように、本パスワード登録画面には、本パスワードの入力欄15aと、再入力用の入力欄15bとが設けられている。ユーザは、本パスワードの入力欄15a、15bに、所望する本パスワードを入力し、「OK」ボタン15cを選択することができる。「OK」ボタン15cが選択されると、入力された本パスワードが認証システム1に送信される。
【0088】
認証システム1は、本パスワードを受け付けると(STEP1407)、送信された本パスワードと送信された再入力用の本パスワードとを照合し(STEP1408)、この照合結果が一致する場合には、本パスワード13cに入力された本パスワードをユーザDB12に記憶する(STEP1409)。また、ユーザIDを発行し、本パスワードとともにユーザIDをユーザ端末2に送信する(STEP1410)。ユーザ端末2は、本パスワードとユーザIDを受け付けると、ブラウザ上に表示する。
【0089】
ユーザは、ブラウザ上に表示された本パスワード及びユーザIDを確認し、これ以後、この本パスワード及びユーザIDを用いて、認証システムにログインすることができる。
【0090】
以上のように、本実施形態によれば、ユーザIDの入力作業、及び仮パスワードの取得や取得した仮パスワードを本パスワードへ変更する作業が不要になる。従って、本パスワード取得時のセキュリティは合言葉パスワードによって維持しながら、認証システム利用開始時の登録手続を簡易な方法で済ませることができるので、ユーザの利便性を向上することができるようになる。
【0091】
なお、合言葉パスワードによる照合結果が一致する場合に、仮パスワードを発行する場合には、仮パスワードの発行とともにユーザIDを発行し、これをユーザに通知するようにすることもできる。この場合、ユーザは、取得した仮パスワードとユーザIDとを用いてログイン画面にログインした後、仮パスワードを本パスワードへ変更する。
【0092】
[第3の実施形態]
本実施形態は、上記各実施形態に対する応用である。すなわち、本実施形態の要旨は、ユーザのパスワード取得状況を管理するとともに、その状況に応じて所定の電子メールをユーザに送信することを特徴としている。
【0093】
すなわち、認証システム1は、ユーザのパスワード取得状況を管理し、例えば、仮パスワード又は本パスワードが未取得状況にあるユーザに対しては、仮パスワードの取得を促す電子メールや仮パスワードから本パスワードへの変更を促す電子メールを送信する。また、認証システム1は、同一の本パスワードを長期間使用しているユーザに対しては、本パスワードの更新を促す電子メールを送信する。
【0094】
このように、ユーザに対して適宜パスワードの変更及びその重要性を促すことにより、ユーザ自身のセキュリティ意識を向上させることができるようになる。さらに、ユーザにより適宜パスワードが変更されるので、第三者によるパスワード解析作業の継続が困難になるとともに、仮にパスワードが盗難に合ったような場合でも、不正アクセスが繰り返される事態を回避できるようになる。以下、かかる構成における認証システム1について説明する。
【0095】
図16は、本認証システム1によるパスワード管理を促す電子メール送信処理の主な流れを示すフローチャートである。本実施形態におけるパスワード管理を促す電子メール(以下、「パスワード管理メール」という。)の送信処理は、予め設定された任意のタイミング(例えば、毎日午前0時)に基づいて行うものとする。認証システム1は、まず、ユーザDB12のステータス133を参照し(STEP1601)、ユーザID発行通知メールが送信済みであるか否かを判断する(STEP1602)。具体的には、認証システム1は、ユーザDB12のステータス133を参照し、ステータス133に「null」の値が設定されている場合には、ユーザID発行通知メールが送信されていないと判断し、ステータス133に「null」以外の値が設定されている場合には、ユーザID発行通知メールが送信されていると判断するものとする。
【0096】
認証システム1は、ユーザID発行通知メールが送信済みであると判断する場合には、次に、ユーザが仮パスワードを取得したか否かを判断する(STEP1603)。具体的には、認証システム1は、ステータス133に「仮パスワード未取得」の値が設定されている場合には、ユーザが仮パスワードを取得していない、即ちユーザにユーザID発行通知メールが送信された状態で手続きが止まっていると判断する。同様に、ステータス133に「仮パスワード取得済み」の値が設定されている場合には、ユーザが本パスワードを取得していない、即ちユーザが仮パスワードを取得した状態で手続きが止まっていると判断する。
【0097】
認証システム1は、ユーザが仮パスワードを取得していないと判断する場合には、ユーザID発行通知メールを送信してから所定の時間(例えば、1週間)が経過したか否かを判断し(STEP1604)、所定の時間が経過していると判断する場合には、ユーザのアドレスに仮パスワードの取得を促す旨の電子メールを送信する(STEP1605)。図17は、仮パスワードの取得を促す電子メールの内容を示す一例である。なお、本実施形態におけるユーザDB12は、ユーザID発行通知メールを送信した日時を記憶しており(図示せず)、認証システム1は、この送信日時に基づいて所定の時間を経過したか否かを判断する。メール送信後の所定の時間は、仮パスワード取得作業に要するユーザの作業時間及び第三者によるユーザIDの盗難防止などを考慮して任意に設定することができるものとする。
【0098】
一方、認証システム1は、ユーザが仮パスワードを取得していると判断する場合には、次に、ユーザが本パスワードを取得したか否かを判断する(STEP1606)。具体的には、認証システム1は、ステータス133に「本パスワード取得済み」の値が設定されている場合には、ユーザが本パスワードを取得していると判断し、ステータス133に「仮パスワード取得済み」の値が設定されている場合には、ユーザが本パスワードを取得していないと判断する。認証システム1は、ユーザが本パスワードを取得していないと判断する場合には、ユーザが仮パスワードを取得してから所定の時間が経過したか否かを判断し(STEP1607)、所定の時間を経過していると判断する場合には、ユーザのアドレスに仮パスワードから本パスワードへの切り替えを促す旨の電子メールを送信する(STEP1608)。なお、本実施形態におけるユーザDB12は、ユーザが仮パスワードを取得した日時を記憶しており(図示せず)、認証システム1は、この取得日時に基づいて所定の時間を経過したか否かを判断する。また、仮パスワード取得後の所定の時間は、仮パスワードの有効期間及び第三者による仮パスワードの盗難防止などを考慮して任意に設定することができるものとする。
【0099】
さらに、認証システム1は、ユーザが本パスワードを取得していると判断する場合には、ユーザが本パスワードを取得してから所定の時間が経過したか否かを判断し(STEP1609)、所定の経過を経過していると判断する場合には、ユーザのアドレスにパスワードの更新を促す旨の電子メールを送信する(STEP1610)。なお、本実施形態におけるユーザDB12は、ユーザが本パスワードを取得した日時を記憶しており(図示せず)、認証システム1は、この取得日時に基づいて所定の時間を経過したか否かを判断する。また、本パスワード取得後の所定の時間は、第三者によるパスワード解析作業及び不正アクセスの繰り返しを回避する一方、本パスワードの変更作業に要するユーザの負担を考慮して、任意に設定することができるものとする。なお、上述した処理の流れは、動作に矛盾が生じない限り、処理の順序を入れ替えまたは並行動作するように構成してもよい。
【0100】
以上によれば、ユーザが、ユーザID発行通知メールを受け取った後も仮パスワードを取得していなかったり、仮パスワードを取得したものの本パスワードへの変更を行っていないような場合には、認証システム1からユーザへ仮パスワードの取得や本パスワードへの変更を促す旨のメールが送信される。また、ユーザが、本パスワードを取得後、同じパスワードを継続して使用しているような場合には、認証システム1からユーザへ本パスワードの更新を促す旨のメールが送信される。従って、ユーザに対して適切なシステムの利用やパスワードの変更を促すことができるので、ユーザ自身のセキュリティ意識が向上するとともに、第三者によるパスワード解析作業の継続が困難になる。さらに、仮にパスワードが盗難に合ったような場合でも、不正アクセスが繰り返される事態を回避できるようになる。
【0101】
上記実施形態は、本発明を説明するための例示であり、本発明を上記実施形態にのみ限定する趣旨ではない。本発明は、その要旨を逸脱しない限り、さまざまな形態で実施することができる。例えば、上記機能実現手段の動作をシーケンシャルに説明したが、特にこれにこだわるものではない。従って、動作に矛盾が生じない限り、処理の順序を入れ替えまたは並行動作するように構成しても良い。
【0102】
[その他の実施形態]
上記実施形態では、合言葉パスワードとして、第1の認証情報(質問)を提示するとともに、第2の認証情報(回答)の入力を促すものとして説明した。しかし、本発明はこれに限られず、例えば、第2の認証情報(回答)をユーザに提示して、第1の認証情報(質問)の入力を促すように構成することもできる。
【0103】
すなわち、認証システム1は、パスワード取得要求を受け付けると、所定の条件に従って、第1の認証情報(質問)及び第2の認証情報(回答)のうち、ユーザに提示する認証情報を決定する。そして、認証システム1は、決定した第1の認証情報(質問)あるいは第2の認証情報(回答)をユーザに提示する。認証システム1は、第1の認証情報(質問)を提示する場合には、第2の認証情報(回答)の入力を促し、第2の認証情報(回答)を提示する場合には、第1の認証情報(質問)の入力を促す。そして、第1の認証情報(質問)の入力を促した場合には、入力された第1の認証情報(質問)と、ユーザDB12に記憶された第1の認証情報(質問)とを照合する。
【0104】
具体的には、認証システム1は、パスワード取得要求を受け付けると、例えば所定の確率的手法に従って、ユーザに提示する認証情報を決定する。ここで、認証システム1が、第2の認証情報(回答)を提示すると決定した場合には、ユーザDB12から該当する第2の認証情報(回答)、例えば「19990101」を読み出してこれを提示するとともに、ユーザに第1の認証情報(質問)の入力を促す。ユーザは、提示された「19990101」を見て、これは生年月日であると判断することができるので、所定の入力欄に「生年月日」を入力する。認証システム1は、入力された「生年月日」とユーザDB12に記憶された第1の認証情報(質問)とを照合する。
【0105】
以上によれば、第1の認証情報及び第2の認証情報のうち、ユーザに提示する認証情報が、認証システム1によって任意に決定されるので、ユーザ以外の利用者には、提示された認証情報が質問なのか回答なのか判断することが難しくなり、その結果、パスワード取得時のセキュリティをより厳しくすることができるようになる。
【0106】
【発明の効果】
本発明によれば、ユーザがパスワードを取得する際に、合言葉パスワードの質問を提示して、これに対する回答の入力を要求することとしているので、仮にサービスを申し込んでからユーザIDを取得するまでの間に長いタイムラグが生じた場合でも、利用者は提示された合言葉パスワードの質問を見れば入力すべき回答を容易に思い出すことができるようになる。従って、合言葉パスワードを忘れることによりパスワードを取得することができないといった事態を回避することが可能になる。
【図面の簡単な説明】
【図1】 本実施形態に係る認証システムの全体的な概略構成を示すブロックダイアグラムである。
【図2】 本実施形態に係る認証方法のワークフロー図である。
【図3】 認証システム1が管理するユーザDB12のデータ構造の一例を示す図である。
【図4】 認証システム1によるユーザ情報登録処理の主な流れを示すフローチャートである。
【図5】 認証システム1による仮パスワード発行処理の主な流れを示すフローチャートである。
【図6】 認証システム1による本パスワード発行処理の主な流れを示すフローチャートである。
【図7】 ユーザID発行通知メールのメールコンテンツの一例を示す図である。
【図8】 ユーザ端末2のブラウザ上に表示された仮パスワードの取得画面の一例を示す図である。
【図9】 ユーザ端末2のブラウザ上に表示された合言葉回答データの入力を促す画面の一例を示す図である。
【図10】 ユーザ端末2のブラウザ上に表示された仮パスワード通知画面の一例を示す図である。
【図11】 ユーザ端末2のブラウザ上に表示されたログイン画面の一例を示す図である。
【図12】 ユーザ端末2のブラウザ上に表示された本パスワードへの変更要求画面の一例を示す図である。
【図13】 ユーザ端末2のブラウザ上に表示されたパスワード変更画面の一例を示す図である。
【図14】 本認証システム1による本パスワード発行処理の他の例を示すフローチャートである。
【図15】 ユーザ端末2のブラウザ上に表示された本パスワード登録画面の構成の一例を示す図である。
【図16】 本認証システム1によるパスワード管理メール送信処理の主な流れを示すフローチャートである。
【図17】 仮パスワードの取得を促す電子メールの内容を示す一例である。
【符号の説明】
1…認証システム
2…ユーザ端末
3…ネットワーク
10…ユーザ登録手段
11…パスワード発行手段
12…ユーザデータベース
13…コンテンツデータベース
21…ブラウザソフト
101…ユーザ情報登録部
102…ユーザID発行部
103…メール送信部
111…認証処理部
112…パスワード発行部
Claims (7)
- パスワードを用いてユーザを認証する認証システムにおいて、
ユーザの申請に基づく第1の認証情報及び第2の認証情報を対応付けて記憶する記憶手段と、
前記ユーザから新規パスワードの取得要求を受け付ける受付手段と、
前記受付手段が受け付けた取得要求に基づいて特定される前記第1の認証情報をユーザに提示するとともに、提示された第1の認証情報に対応する第2の認証情報の入力をユーザに促す第1の入力手段と、
前記第1の入力手段により入力された第2の認証情報を受け付けると、前記受け付けた第2の認証情報と前記提示した第1の認証情報に対応付けて前記記憶手段が記憶する第2の認証情報とを照合する照合手段と、
前記照合手段による照合結果が一致する場合には、ユーザを一意的に特定する仮パスワードを発行するとともに、前記発行した仮パスワードをユーザに通知する発行手段と、
前記ユーザから前記仮パスワードを本パスワードへ変更する要求を受け付けると、前記仮パスワード及び所望する本パスワードの入力をユーザに促す第2の入力手段と、
前記第2の入力手段により入力された仮パスワード及び本パスワードを受け付けると、前記受け付けた仮パスワードと前記発行手段が発行した仮パスワードとを照合し、照合結果が一致する場合には、前記仮パスワードを前記受け付けた本パスワードへ変更する変更手段と
を備えることを特徴とする認証システム。 - 前記ユーザを一意的に特定するユーザIDを発行するとともに、前記発行したユーザIDを前記ユーザに通知する通知手段をさらに備え、
前記第1の入力手段は、前記受付手段が前記ユーザから新規パスワードの取得要求を受け付けると、前記ユーザにユーザIDの入力を促し、入力されたユーザIDと前記通知手段が通知したユーザIDとを照合し、照合結果が一致する場合には、前記受付手段が受け付けた取得要求に基づいて特定される前記第1の認証情報をユーザに提示するとともに、提示された第1の認証情報に対応する第2の認証情報の入力をユーザに促すことを特徴とする請求項1記載の認証システム。 - 前記第1の認証情報は質問形式にて構成され、前記第2の認証情報は前記第1の認証情報に対する回答形式にて構成されていることを特徴とする請求項1または2いずれか記載の認証システム。
- 前記第1の入力手段は、
所定の条件に従って、前記第1の認証情報及び前記第2の認証情報のうち前記ユーザに提示する一の認証情報を決定し、決定した一の認証情報をユーザに提示するとともに、他の認証情報の入力をユーザに促すことを特徴とする請求項1から3いずれか記載の認証システム。 - パスワードを用いてユーザを認証するサーバと、前記サーバにログインするクライアントから構成される認証システムにおいて、
前記サーバが、ユーザの申請に基づく第1の認証情報及び第2の認証情報を対応付けて記憶し、
前記クライアントが、前記サーバに新規パスワードの取得要求を送信し、
前記サーバが、前記クライアントから送信される新規パスワードの取得要求を受け付けると、前記受け付けた取得要求に基づいて特定される前記第1の認証情報を前記クライアントに送信し、
前記クライアントが、前記サーバから送信される前記第1の認証情報に対応する第2の認証情報の入力を前記ユーザから受け付けて、これを前記サーバに送信し、
前記サーバが、前記クライアントから送信される前記第2の認証情報を受け付けると、前記受け付けた第2の認証情報と前記送信した第1の認証情報に対応付けて記憶する第2の認証情報とを照合し、照合結果が一致する場合には、ユーザを一意的に特定する仮パスワードを発行するとともに、前記発行した仮パスワードを前記クライアントに送信し、
前記クライアントが、前記ユーザから前記仮パスワードを本パスワードへ変更する要求を受け付けると、前記仮パスワード及び所望する本パスワードの入力をユーザから受け付けて、この受け付けた前記仮パスワード及び前記本パスワードを前記サーバへ送信し、
前記サーバが、前記送信された仮パスワード及び前記本パスワードを受け付けると、前記受け付けた仮パスワードと前記発行した仮パスワードとを照合し、照合結果が一致する場合には、前記仮パスワードを前記受け付けた本パスワードへ変更する
ことを特徴とする認証システム。 - パスワードを用いてユーザを認証するサーバと、前記サーバにログインするクライアントから構成される認証システムにおける認証方法であって、
前記サーバが、ユーザの申請に基づく第1の認証情報及び第2の認証情報を対応付けて記憶手段に記憶する段階と、
前記クライアントが、前記サーバに新規パスワードの取得要求を送信する段階と、
前記サーバが、前記クライアントから送信される新規パスワードの取得要求を受け付けると、前記受け付けた取得要求に基づいて特定される前記第1の認証情報を前記クライアントに送信する段階と、
前記クライアントが、前記サーバから送信される前記第1の認証情報に対応する第2の認証情報の入力を前記ユーザから受け付けて、これを前記サーバに送信する段階と、
前記サーバが、前記クライアントから送信される前記第2の認証情報を受け付けると、前記受け付けた第2の認証情報と前記送信した第1の認証情報に対応付けて前記記憶手段に記憶する第2の認証情報とを照合し、照合結果が一致する場合には、ユーザを一意的に特定する仮パスワードを発行して前記記憶手段に記憶するとともに、前記発行した仮パスワードを前記クライアントに送信する段階と、
前記クライアントが、前記ユーザから前記仮パスワードを本パスワードへ変更する要求を受け付けると、前記仮パスワード及び所望する本パスワードの入力をユーザから受け付けて、この受け付けた前記仮パスワード及び前記本パスワードを前記サーバへ送信する段階と、
前記サーバが、前記送信された仮パスワード及び前記本パスワードを受け付けると、前記受け付けた仮パスワードと前記記憶手段に記憶した仮パスワードとを照合し、照合結果が一致する場合には、前記仮パスワードを前記受け付けた本パスワードへ変更する段階と
を備えることを特徴とする認証システムにおける認証方法。 - ユーザの申請に基づく第1の認証情報及び第2の認証情報を対応付けて記憶する機能と、
前記ユーザから新規パスワードの取得要求を受け付ける機能と、
前記受け付けた取得要求に基づいて特定される前記第1の認証情報をユーザに提示するとともに、提示された第1の認証情報に対応する第2の認証情報の入力をユーザに促す機能と、
前記ユーザにより入力された第2の認証情報を受け付けると、前記受け付けた第2の認証情報と前記提示した第1の認証情報に対応付けて記憶する第2の認証情報とを照合する機能と、
前記照合結果が一致する場合には、ユーザを一意的に特定する仮パスワードを発行するとともに、前記発行した仮パスワードをユーザに通知する機能と、
前記ユーザから前記仮パスワードを本パスワードへ変更する要求を受け付けると、前記仮パスワード及び所望する本パスワードの入力をユーザに促す機能と、
前記入力された仮パスワード及び本パスワードを受け付けると、前記受け付けた仮パスワードと前記発行した仮パスワードとを照合し、照合結果が一致する場合には、前記仮パスワードを前記受け付けた本パスワードへ変更する機能と
をコンピュータに実現させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001311350A JP4132769B2 (ja) | 2001-10-09 | 2001-10-09 | 認証システム及び認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001311350A JP4132769B2 (ja) | 2001-10-09 | 2001-10-09 | 認証システム及び認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003122718A JP2003122718A (ja) | 2003-04-25 |
| JP4132769B2 true JP4132769B2 (ja) | 2008-08-13 |
Family
ID=19130194
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001311350A Expired - Fee Related JP4132769B2 (ja) | 2001-10-09 | 2001-10-09 | 認証システム及び認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4132769B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005216085A (ja) * | 2004-01-30 | 2005-08-11 | All Nippon Airways Co Ltd | パスワード提供システムおよびその方法 |
| JP4519893B2 (ja) * | 2007-09-03 | 2010-08-04 | 株式会社エヌ・ティ・ティ・ドコモ | 同報配信装置、通信システム及び同報配信方法 |
| JP5737648B2 (ja) * | 2010-07-10 | 2015-06-17 | 株式会社サイエンスインパクト | アカウント情報送信システム |
-
2001
- 2001-10-09 JP JP2001311350A patent/JP4132769B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003122718A (ja) | 2003-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10819694B2 (en) | System and method of providing identity verification services | |
| US10146948B2 (en) | Secure network access | |
| US8103246B2 (en) | Systems and methods for remote user authentication | |
| US7730321B2 (en) | System and method for authentication of users and communications received from computer systems | |
| JP4996085B2 (ja) | サービス提供装置及びプログラム | |
| US20050228687A1 (en) | Personal information management system, mediation system and terminal device | |
| EP1719283B1 (en) | Method and apparatus for authentication of users and communications received from computer systems | |
| NZ541711A (en) | Human factors authentication using abstract definitions of viewable or audible objects | |
| WO2009039160A2 (en) | Method and system for storing and using a plurality of passwords | |
| WO2007137368A1 (en) | Method and system for verification of personal information | |
| US20240046398A1 (en) | System and method of providing identity verification services | |
| JP4132769B2 (ja) | 認証システム及び認証方法 | |
| JP2001273259A (ja) | ユーザ認証システム、ユーザ認証方法およびユーザ認証を行うためのプログラムを記録した記録媒体 | |
| JP5818635B2 (ja) | ログイン認証システムおよび方法 | |
| AU2011101729A4 (en) | Accessing information | |
| JP2002203113A (ja) | 保険サービス認証システムおよび保険に関するサービスの提供方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041008 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071212 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071227 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080219 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080502 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080602 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110606 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4132769 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110606 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120606 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120606 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130606 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |