ワンタイムパスワードトークンのよくあるご質問
OTPトークン全般
弊社提供しているOTPトークンはOATH規格に準拠し、OATH規格準拠認証サーバーと簡単で連携することはできます。
弊社にはOATHを準拠しております、タイムベースのOTPC200製品を提供しております。
OTP(ワンタイムパスワード)トークンには標準のリチウム電池を搭載しています。
電池の寿命は利用頻度と関連します。
理論的には、一日10回利用する場合は3~5年間ご利用いただけます。
OTP電池寿命について
OTP製品関して、工場に注文が入ると、先ずシリアル番号及びSeedコードを事前発行致します。この時点ではまだ電池は装着されません。
そして、いざ出荷の時点になってSeedコードをトークンに焼き込むことになりますが、その焼き込み工程の直前に初めてボタン電池がセットされます。
電池の寿命はSeedコード焼き込みの日(≒工場出荷日)を基準に、14,000回クリックとなります。
14000クリックの回数は一日10回で、平均利用回数と計算すると、3年~5年の寿命と判定されます。
3年×365日/年×10クリック/日=10950クリック
5年×365日/年×10クリック/日=18250クリック
OTPトークンの保証期間について
通常OTPトークンハードウェアの保証期間は納品日より1年となります。
弊社には3年/5年の保証プランも提供することはできます。詳細に関してはお問合せください。
いいえ、OTPトークンは不正開封防止機能(タンパエビデント)を採用しております。
一旦ケースが開けられると、トークン内部が壊れて、利用できなくなりますので、電池寿命が切れた場合、新しくトークンを購入する必要がございます。
OTPトークン本体は100Vコンセントに接続して使用する電気製品ではないので、PSEの対象にはなりません。
また、OTPトークンに内蔵するリチウム電池に関しては、リチウム電池が内蔵された形での製品の場合は、PSEの対象外ということです。
はい、通常評価キットに含まれているOTPC200は60秒毎に自動生成されます。
弊社営業へ事前連絡頂ければ、30秒ごとに自動生成するOTPトークンも提供することはできます。
OTPC200トークン内部クロックは「UTC」と言う”協定世界時”を採用しております。各国の時差と関連しておりません。
OTPC200トークンが正常であれば、1年以内トークン内部クロックのズレル時間は3分間以下となります。
OTPC200を利用してOTPサーバーと認証する際、もしOTPC200内部クロックのズレル時間は2分間以内であれば、正常許可範囲内となり、正常に認証できます。
さらに、OTPC200内部のズレル時間は認証の度に自動的に認証サーバーのデータベースに記録され、次回データベースに記録された内容に更に2分間上下を計算しておきます。
エンドユーザーは年1回以上でOTPC200を利用して正しく認証するなら、OTPC200内部クロックのズレは特に影響がございません。
もしエンドユーザーは1年以上OTPトークンにで認証していない、またはハードウェアの問題により内部クロックのズレル時間は2分以上の場合、OTPトークンが認証サーバーと同期する必要があります。
同期処理に関して、各認証サーバーによって異なります。通常は、OTPトークンから2回連続で生成されたパスワードを同期画面に入力し、サーバー側の同期処理を行います。
下記事項を確認してください:
1、OTP認証サーバーのシステム時刻が正しいかどうかを確認してください。
OTPC200はタイムペース型OTPトークンですので、もしOTPサーバーのシステム時刻が標準時刻より10分以上ズレル場合、認証できなくなります。
OTPサーバーのシステム時刻を調査すると、正しく認証できます。
2、OTPC200を同期してから改善できるかどうかを確認してください。
OTPC200が長期利用していない場合、トークン内蔵のクロックがズレル可能性も考えられます。そうすると、トークンの同期処理が必要となります。
同期処理に関して、各認証サーバーによって異なります。通常は、OTPトークンから2回連続で生成されたパスワードを同期画面に入力し、サーバー側の同期処理を行います。
はい、ベリサイン社やDS3社の認証サーバなどOATH規格を準拠する認証サーバーであれば、ご使用することができます。
OTPトークンのMicrosoft Entra ID (旧称 Azure AD)多要素認証利用
下記URLの手順を参考にしてください。
https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/concept-authentication-oath-tokens#oath-hardware-tokens-preview
主に下記3ステップです。
【Step1】
以下内容のcsvファイルを作成
upn,serial number,secret key,time interval,manufacturer,model
《Azureログインアカウント》,《OTPトークンID(13桁)》,《BASE32エンコードしたseedkey》,《時間間隔(秒)》,Feitian,《OTPトークンの製造モデル》
※注意点
①csvファイルに「upn,serial number…」のヘッダーが必要です。
②各項目の設定内容:
[upn]:Azureログインアカウント
[serial number]:OTPトークンのID(シリアル番号)
[secret key]:OTPトークンのBase32のシークレットキー
通常評価キットや出荷する際に、Base16シートコードを提供します。
Azureのcsvを作成する際に、Base16のシードコード(40桁)をBASE32エンコード(32桁)してから設定してください。
Base16形式は「A-F(6文字)と0-9(10文字)」の16文字で構成されます。
Base32形式は「A-Z (26文字)と2-7 (6文字)、 = 」の 33文字で構成されます。
[timeinterval]:OTPの時間間隔(秒)(60/30)
評価用OTPトークンが60秒間隔ですので「60」を記入してください。
もし30秒間隔のOTPを利用する場合は「30」を記入してください。
[manufacturer]:製造元(Feitian)
[model]:製品モデル(例:OTP c200)
例:
OTP C200(60秒)のOTPトークンを利用する場合は、CSVファイルは以下の内容になります。
upn,serial number,secret key,time interval,manufacturer,model
test@ftsafe.com,1234567890123,CYZY7DO7XJAMISOL62RBGD6MFWCQJEM6,60,Feitian,OTP c200
【Step2】
Microsoft Entra ID (旧称 Azure AD)にCSVファイルをアップロードして、アクティブにします。
【Step3】
[Azure Active Directory]⇒[ユーザー]⇒[Multi-Factor Authentication(多要素認証)]を「有効にする」。
CSVファイルの内容を確認してください。
upn,serial number,secret key,time interval,manufacturer,model
《Azureログインアカウント》,《OTPトークンID(13桁)》,《BASE32エンコードしたseedkey》,《時間間隔(秒)》,Feitian,《OTPトークンの製造モデル》
※「upn,serial number…」のようなヘッダー行も記入必要です。
「secret key」がBase32エンコードではない可能性が高いと思われます。
通常評価キットや製品を出荷する際には、Base16シートコードを提供します。
AzureのCSVファイルを作成する際に、Base16のシードコードを「16進数文字列」としてBASE32にエンコードしてから設定してください。
Base16とBASE32の判別方法:
Base16形式は「A-F (6文字)と0-9(10文字)」の16文字で構成されます。
Base32形式は「A-Z (26文字)と2-7 (6文字)、 = 」の 33文字で構成されます。
例1:
Base16形式シートコード:6CDF0E484E7ACE12FD10B3F25B390991402022CF
Base32形式に変換すると:NTPQ4SCOPLHBF7IQWPZFWOIJSFACAIWP
例2:
Base16形式シートコード:16338F8DDFBA40C449CBF6A2130FCC2D8504919E
Base32形式に変換すると:CYZY7DO7XJAMISOL62RBGD6MFWCQJEM6
「よくあるご質問」に記載されていない事項に関しましては、お手数ですが「サポートID」をご用意いただき、サポートお問い合わせフォームよりお問い合わせください。