ホーム > 特許ランキング > ローレルバンクマシン株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-05-13
(45)【発行日】2022-05-23
(54)【発明の名称】パスワード類管理装置およびパスワード類管理方法
(51)【国際特許分類】
G06F 21/45 20130101AFI20220516BHJP
【FI】
G06F21/45
【請求項の数】
4
(21)【出願番号】P 2018128995
(22)【出願日】2018-07-06
(65)【公開番号】P2020009095
(43)【公開日】2020-01-16
【審査請求日】2020-10-14
(73)【特許権者】
【識別番号】000116079
【氏名又は名称】ローレルバンクマシン株式会社
(74)【代理人】
【識別番号】100141139
【弁理士】
【氏名又は名称】及川 周
(74)【代理人】
【識別番号】100161702
【弁理士】
【氏名又は名称】橋本 宏之
(74)【代理人】
【識別番号】100189348
【弁理士】
【氏名又は名称】古都 智
(72)【発明者】
【氏名】折本 康宏
(72)【発明者】
【氏名】雨甲斐 幸男
【審査官】小林 秀和
(56)【参考文献】
【文献】特開2006-133837(JP,A)
【文献】特開2008-225926(JP,A)
【文献】特開2004-280189(JP,A)
【文献】特表2011-516952(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/45
(57)【特許請求の範囲】
【請求項1】
所定の管理エリアの認証情報を集中管理するパスワード類管理装置であって、管理エリアごとに複数の使用者のパスワード類を記憶する記憶部と、
前記記憶部への情報の記憶を制御する制御部と、
を備え、
前記制御部は、
管理エリア内において、
設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定期間内に所定の許容限界数記憶されている場合に、
当該設定要求されたパスワード類の前記記憶部への記憶を不可にし、
前記所定期間を超えて、
所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、
当該パスワードの有効期間を通常より短く設定しパスワード類を早めに変更させるようにする
パスワード類管理装置。
【請求項2】
前記制御部は、一致率が所定の割合以上の場合に同一のパスワード類とみなす
請求項1記載のパスワード類管理装置。
【請求項3】
前記所定の許容限界数を、使用者の属性毎に設定可能である
請求項1または2記載のパスワード類管理装置。
【請求項4】
所定の管理エリアの認証情報を集中管理するパスワード類管理装置に用いられる方法であって、管理エリアごとに複数の使用者のパスワード類を記憶部に記憶するステップと、
管理エリア内において、設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定の許容限界数記憶されているか否かを判定するステップと、
前記設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定期間内に所定の許容限界数記憶されている場合に、当該設定要求されたパスワード類の前記記憶部への記憶を不可にするステップと、
前記所定期間を超えて、
所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、
当該パスワードの有効期間を通常より短く設定しパスワード類を早めに変更させるようにするステップと、
を含むパスワード類管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、パスワード類管理装置およびパスワード類管理方法に関する。
【背景技術】
【0002】
従来、コンピュータ等の電子機器を使用する際に、正当な利用者であることを認証する仕組みとして、パスワードやパスフレーズ(以下、パスワード類という。)が広く用いられている。しかし、パスワード類が他人に知られてしまうと、不正アクセスによる個人情報や機密情報等の漏えいのおそれがある。
【0003】
そこで、パスワード類のセキュリティを高める手法の一つとして、パスワードに有効期間を設け、一定期間ごとにパスワードを更新させる仕組みが提案されている(例えば、特許文献1参照)。
【0004】
また、例えば、大規模システムを構成する多数のデバイスのそれぞれにパスワードを登録する必要がある場合、管理のしやすさから同一パスワードを登録することが行われている(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0005】
【文献】特開平7-182064号公報
【文献】特開2006-301888号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
同一パスワードを登録することは、セキュリティが疎かになるケースがある。例えば、情報セキュリティ管理者の意に背き、社員・職員同士が結託してパスワード類を同一にした場合、何らかの手段で他人のIDさえ入手できれば、他人になりすましての電子機器の使用が簡単に可能となってしまう。
【0007】
本発明は、セキュリティ性を高めることができるパスワード類管理装置およびパスワード類管理方法の提供を目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するために、本発明に係る第1の態様は、所定の管理エリアの認証情報を集中管理するパスワード類管理装置であって、管理エリアごとに複数の使用者のパスワード類を記憶する記憶部と、前記記憶部への情報の記憶を制御する制御部と、を備え、前記制御部は、管理エリア内において、設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定期間内に所定の許容限界数記憶されている場合に、当該設定要求されたパスワード類の前記記憶部への記憶を不可にし、前記所定期間を超えて、所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、当該パスワードの有効期間を通常より短く設定しパスワード類を早めに変更させるようにする。
【0009】
上記第1の態様によれば、制御部は、設定要求されたパスワード類と同一のパスワード類が記憶部に所定数記憶されている場合に、当該設定要求されたパスワード類の記憶部への記憶を不可にするため、同一のパスワード類が所定数を超えて登録されてしまうことを防止できる。よって、セキュリティ性を高めることができる。
【0011】
上記第1の態様によれば、制御部が、設定要求されたパスワード類と同一のパスワード類が記憶部に所定期間内に所定数記憶されている場合に、当該設定要求されたパスワード類の記憶部への記憶を不可にするため、所定期間内に限って、同一のパスワード類が所定数を超えて登録されてしまうことを防止できる。よって、管理期間が長期間にわたることで生じるパスワード類の偶然の一致を制限から除外することができる。
【0012】
本発明に係る第2の態様は、上記第1の態様において、前記制御部は、一致率が所定の割合以上の場合に同一のパスワード類とみなす。
【0013】
上記第2の態様によれば、制御部が、一致率が所定の割合以上の場合に同一のパスワード類とみなすため、少しの文字を変える等することで同一パスワードの数量制限を回避する不正を防ぐことができる。
【0014】
本発明に係る第3の態様は、上記第1または第2の態様において、前記所定の許容限界数を、使用者の属性毎に設定可能である。
【0015】
上記第3の態様によれば、前記所定数を、使用者の属性毎に設定可能であるため、前記所定数を少ない数に設定することでセキュリティを優先したり、前記所定数を多い数に設定することで、利便性を優先したりすることが可能となる。
【0018】
本発明に係る第4の態様は、所定の管理エリアの認証情報を集中管理するパスワード類管理装置に用いられる方法であって、管理エリアごとに複数の使用者のパスワード類を記憶部に記憶するステップと、管理エリア内において、設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定の許容限界数記憶されているか否かを判定するステップと、前記設定要求されたパスワード類と同一のパスワード類が前記記憶部に所定期間内に所定の許容限界数記憶されている場合に、当該設定要求されたパスワード類の前記記憶部への記憶を不可にするステップと、前記所定期間を超えて、所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、当該パスワードの有効期間を通常より短く設定しパスワード類を早めに変更させるようにするステップと、を含む。
【0019】
上記第4の態様によれば、設定要求されたパスワード類と同一のパスワード類が記憶部に所定数記憶されている場合に、当該設定要求されたパスワード類の記憶部への記憶を不可にするため、同一のパスワード類が所定数を超えて登録されてしまうことを防止できる。よって、セキュリティ性を高めることができる。
【発明の効果】
【0020】
本発明によれば、セキュリティ性を高めることができるパスワード類管理装置およびパスワード類管理方法を提供することができる。
【図面の簡単な説明】
【0021】
【図1】本発明に係るパスワード類管理システムの一実施形態である認証情報管理システムを示すブロック図である。
【図2】本発明に係るパスワード類管理システムの一実施形態である認証情報管理システムのクライアントPCの制御内容の要部を示すフローチャートである。
【図3】本発明に係るパスワード類管理システムの一実施形態である認証情報管理システムの認証サーバの制御内容の要部を示すフローチャートである。
【発明を実施するための形態】
【0022】
本発明に係る一実施形態を図面を参照して以下に説明する。
【0023】
本実施形態の認証サーバ10(パスワード類管理装置)は、認証情報管理システム11(パスワード類管理システム)の所定の管理エリア(同一ドメインや認証情報管理システム11のサイトや所属グループごと等)の認証情報を集中管理するものである。この所定の管理エリアには、一台または複数台の端末装置であるクライアントPC12が設けられており、認証サーバ10とクライアントPC12とは、ネットワーク13を介して接続されている。
【0024】
クライアントPC12は、操作入力を受け付ける入力部21と、表示を行う表示部22と、クライアントPC12を制御する端末制御部23と、ネットワーク13に接続されネットワーク13を介して認証サーバ10と通信を行う端末通信部24とを有している。
【0025】
認証サーバ10は、ネットワーク13に接続されネットワーク13を介して端末通信部24と通信を行うサーバ通信部31と、サーバ通信部31を介して各クライアントPC12から入力された情報を基に認証情報の設定の可否を判定する等して認証サーバ10を制御するサーバ制御部32(制御部)と、サーバ制御部32が設定可と判定した認証情報等を記憶する記憶部33とを有している。認証情報は、認証サーバ10にネットワーク13を介して接続されたクライアントPC12等の各機器類の使用を許可するために必要な情報であり、記憶部33には、このような認証情報が複数記憶されている。
【0026】
ここで、認証情報は、各クライアントPC12毎に設定されており、使用者の識別情報であるIDと、IDに関連付けられて設定されるパスワードあるいはパスフレーズ等のパスワード類との組み合わせからなっている。なお、IDは、ユーザIDでもよいし、クライアントPC12の入力部21に設けられたカードリーダで読みとられるICカード等のカードIDや、クライアントPC12の入力部21に設けられたUSB接続部で読みとられるUSBトークンでもよく、被認証対象を一意に識別可能であればよい。1台のクライアントPC12を複数人で共用する場合は、複数のユーザアカウントを作成し、複数のIDおよびパスワード類の組み合わせを設定することで、ユーザ毎に異なる権限(一部の機能を制限する等)で使い分けることができる。
【0027】
ここでは、具体例として、認証サーバ10で管理される上記の管理エリアに、特定の個人である使用者Aに専用とされて使用者Aの適正な認証情報が入力された場合に使用可能となるクライアントPC12(A)と、特定の個人である使用者Bに専用とされて使用者Bの適正な認証情報が入力された場合に使用可能となるクライアントPC12(B)と、特定の個人である使用者Cに専用とされて使用者Cの適正な認証情報が入力された場合に使用可能となるクライアントPC12(C)と、複数の特定の使用者D、使用者E、使用者F、使用者G、…に対し共用とされて、これら使用者D、使用者E、使用者F、使用者G、…のいずれか一人の適正な認証情報が入力された場合に使用可能となるクライアントPC12(D)とを有する場合を例にとり説明する。
【0028】
なお、クライアントPC12(A)の各構成には、符号に(A)を付け、クライアントPC12(B)の各構成には、符号に(B)を付け、クライアントPC12(C)の各構成には、符号に(C)を付け、クライアントPC12(D)の各構成には、符号に(D)を付けて区別する。
【0029】
ここで、上記したように、クライアントPC12(A)は、使用者Aの適正な認証情報が入力された場合に使用可能となり、よって、使用者Aの適正な認証情報は、クライアントPC12(A)の使用権限を有する認証情報となり、他の認証情報は、クライアントPC12(A)の使用権限を有さない認証情報となる。同様に、使用者Bの適正な認証情報は、クライアントPC12(B)の使用権限を有する認証情報となり、使用者Cの適正な認証情報は、クライアントPC12(C)の使用権限を有する認証情報となり、使用者Dの適正な認証情報は、クライアントPC12(D)の使用権限を有する認証情報となる。
【0030】
認証情報管理システム11において、例えば、クライアントPC12(A)を使用する場合、使用者は、クライアントPC12(A)の表示部22(A)の表示案内に沿って入力部21(A)に入力を行う。すると、端末制御部23(A)は、まず、入力部21(A)への認証情報としてのIDおよびパスワード類の入力を促す表示を表示部22(A)に表示させる。この表示にしたがって入力部21(A)にIDおよびパスワードが入力されると、端末制御部23(A)は、これらのIDおよびパスワードの組み合わせからなる認証情報を、端末制御部23(A)の識別情報とともに、端末通信部24(A)からネットワーク13を介して認証サーバ10のサーバ通信部31に送信する。
【0031】
端末制御部23(A)から送信されたこの認証情報をサーバ通信部31が受けると、サーバ制御部32は、この認証情報と同一の認証情報が、クライアントPC12(A)の使用権限を有する認証情報として記憶部33に記憶されているか否かを判定する。すなわち、端末制御部23(A)から送信されたIDおよびパスワード類の組み合わせと同一のIDおよびパスワード類の組み合わせが、クライアントPC12(A)の使用権限を有するIDおよびパスワード類の組み合わせとして記憶されているか否かを判定する。
【0032】
この判定で、端末制御部23(A)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(A)の使用権限を有する認証情報として記憶部33に記憶されていない場合に、サーバ制御部32は、端末制御部23(A)から送信されたこの認証情報が不適正であることを示す情報をサーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する。この情報を端末通信部24(A)が受け付けると、端末制御部23(A)は、IDおよびパスワード類の組み合わせからなる認証情報が不適正である旨の表示を表示部22(A)に表示させて、IDおよびパスワード類の組み合わせからなる認証情報の再入力を待機する。
【0033】
他方、この判定で、端末制御部23(A)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(A)の使用権限を有する認証情報として記憶部33に記憶されている場合に、サーバ制御部32は、端末制御部23(A)から送信されたこの認証情報が適正であることを示す情報をサーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する。この情報を端末通信部24(A)が受けると、端末制御部23(A)は、クライアントPC12(A)を、ログイン状態とし、ログイン状態で許容される制御メニューの実行が可能な状態とする。
【0034】
また、例えば、入力部21(B)にIDおよびパスワード類が入力されると、上記と同様に、端末制御部23(B)が、これらIDおよびパスワード類の組み合わせからなる認証情報を認証サーバ10に送信する。すると、認証サーバ10のサーバ制御部32は、端末制御部23(B)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(B)の使用権限を有する認証情報として記憶部33に記憶されているか否かを判定する。
【0035】
この判定で、端末制御部23(B)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(B)の使用権限を有する認証情報として記憶部33に記憶されていない場合に、サーバ制御部32は、端末制御部23(B)から送信されたこの認証情報が不適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(B)は、認証情報が不適正である旨の表示を表示部22(B)に表示させる。
【0036】
他方、この判定で、端末制御部23(B)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(B)の使用権限を有する認証情報として記憶部33に記憶されている場合に、サーバ制御部32は、端末制御部23(B)から送信されたこの認証情報が適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(B)は、クライアントPC12(B)を、ログイン状態とし、ログイン状態で許容される制御メニューの実行が可能な状態とする。
【0037】
また、例えば、入力部21(C)にIDおよびパスワード類が入力されると、上記と同様に、端末制御部23(C)が、これらIDおよびパスワード類の組み合わせからなる認証情報を認証サーバ10に送信する。すると、認証サーバ10のサーバ制御部32は、端末制御部23(C)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(C)の使用権限を有する認証情報として記憶部33に記憶されているか否かを判定する。
【0038】
この判定で、端末制御部23(C)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(C)の使用権限を有する認証情報として記憶部33に記憶されていない場合に、サーバ制御部32は、端末制御部23(C)から送信されたこの認証情報が不適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(C)は、認証情報が不適正である旨の表示を表示部22(C)に表示させる。
【0039】
他方、この判定で、端末制御部23(C)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(C)の使用権限を有する認証情報として記憶部33に記憶されている場合に、サーバ制御部32は、端末制御部23(C)から送信されたこの認証情報が適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(C)は、クライアントPC12(C)を、ログイン状態とし、ログイン状態で許容される制御メニューの実行が可能な状態とする。
【0040】
また、例えば、入力部21(D)にIDおよびパスワード類が入力されると、上記と同様に、端末制御部23(D)が、これらIDおよびパスワード類の組み合わせからなる認証情報を認証サーバ10に送信する。すると、認証サーバ10のサーバ制御部32は、端末制御部23(D)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(D)の使用権限を有する認証情報として記憶部33に記憶されているか否かを判定する。
【0041】
この判定で、端末制御部23(D)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(D)の使用権限を有する認証情報として記憶部33に記憶されていない場合に、サーバ制御部32は、端末制御部23(D)から送信されたこの認証情報が不適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(D)は、認証情報が不適正である旨の表示を表示部22(D)に表示させる。
【0042】
他方、この判定で、端末制御部23(D)から送信されたこの認証情報と同一の認証情報が、クライアントPC12(D)の使用権限を有する認証情報として記憶部33に記憶されている場合に、サーバ制御部32は、端末制御部23(D)から送信されたこの認証情報が適正であることを示す情報を送信することになり、この情報を受けて端末制御部23(D)は、クライアントPC12(D)を、ログイン状態とし、ログイン状態で許容される制御メニューの実行が可能な状態とする。
【0043】
ここで、クライアントPC12(A)の使用権限を有する認証情報として記憶部33に記憶されている認証情報、クライアントPC12(B)の使用権限を有する認証情報として記憶部33に記憶されている認証情報、クライアントPC12(C)の使用権限を有する認証情報として記憶部33に記憶されている認証情報は、それぞれ一つずつであり、クライアントPC12(A)~12(C)は、それぞれ、使用権限を有する一つの認証情報と、入力された認証情報とが一致する場合に、ログイン状態となる。
【0044】
これに対し、クライアントPC12(D)の使用権限を有する認証情報として記憶部33に記憶されている認証情報は、複数あり、クライアントPC12(D)は、これらのいずれの認証情報が、クライアントPC12(D)に入力された認証情報と一致する場合でも、ログイン状態となる。
【0045】
以上により、認証情報管理システム11は、認証サーバ10の記憶部33に記憶されているIDおよびパスワード類の認証情報と、クライアントPC12においてユーザにより入力されたIDおよびパスワード類の認証情報とを照合することにより、ユーザの正当性を判断する。認証サーバ10は、ユーザが正当な権限を有する者と認証した場合は、クライアントPC12の使用を許可する。
【0046】
このような認証情報管理システム11において、個人用のクライアントPC12(A)~12(C)の使用権限を有する認証情報を設定する場合と、共用のクライアントPC12(D)の使用権限を有する認証情報を設定する場合とについて、図2,図3のフローチャートを参照して説明する。
【0047】
クライアントPC12(A)の使用権限を有する認証情報を新規設定する場合、設定者は、クライアントPC12(A)の表示部22(A)の表示案内に沿って入力部21(A)に認証情報の新規設定開始のための入力を行う。すると、端末制御部23(A)は、認証情報の新規設定処理を開始し、設定希望のIDおよび設定希望のパスワード類の入力部21(A)への設定入力を促す表示を表示部22(A)に表示させる。
【0048】
この表示にしたがって入力部21(A)に設定希望のIDと設定希望のパスワード類とが入力されると(図2のステップSa1:YES)、端末制御部23(A)は、これら設定希望のIDと設定希望のパスワード類とを含む設定希望の認証情報を、端末制御部23(A)の識別情報と、IDおよびパスワード類の新規設定を要求する新規設定要求情報とともに、端末通信部24(A)、ネットワーク13を介して認証サーバ10のサーバ通信部31に送信する(図2のステップSa2)。
【0049】
すると、認証サーバ10のサーバ制御部32においては、端末制御部23(A)から新規設定要求情報と設定希望のパスワード類を含む認証情報とを受信することになって(図3のステップSb1:YES)、端末制御部23(A)から新規設定要求情報とともに送信された設定希望の認証情報が、端末制御部23(A)から設定要求された認証情報となり、この認証情報に含まれる設定希望のIDが、端末制御部23(A)から設定要求されたIDとなり、この認証情報に含まれる設定希望のパスワード類が、端末制御部23(A)から設定要求されたパスワード類となる。
【0050】
そして、サーバ制御部32は、端末制御部23(A)から設定要求された認証情報に含まれる、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている認証情報に含まれるパスワード類の中に、所定の許容限界数(所定数)記憶されているか否かを判定する(図3のステップSb2)。すなわち、サーバ制御部32は、クライアントPC12(A)の入力部21(A)への入力に基づいて設定要求されたパスワード類と同一のパスワード類が記憶部33に所定数記憶されているか否かを判定するステップを行う。ここで、設定要求されたパスワード類との同一が判定される記憶部33に記憶されているパスワード類は、管理エリア内において使用権限が有ることを確認するために記憶部33に記憶されているすべての認証情報のパスワード類である。
【0051】
この判定で、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、上記の許容限界数記憶されている場合に(図3のステップSb2:YES)、サーバ制御部32は、端末制御部23(A)から設定要求されたパスワード類が不適正であるため、パスワード類の変更を要求することを示す変更要求情報をサーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する(図3のステップSb3)。この変更要求情報を端末通信部24(A)で受けると(図2のステップSa3:YES)、端末制御部23(A)は、設定希望した認証情報に含まれるパスワード類が不適正である旨の表示を表示部22(A)に表示させてパスワード類の再入力を待機する(図2のステップSa1)。
【0052】
他方、この判定で、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、上記の許容限界数記憶されていない場合に(図3のステップSb2:NO)、サーバ制御部32は、端末制御部23(A)から設定要求された認証情報が適正であるとして、この認証情報に含まれる、端末制御部23(A)から設定要求されたIDと端末制御部23(A)から設定要求されたパスワード類との組み合わせを、クライアントPC12(A)の使用権限を有する認証情報として新規設定して記憶部33に記憶させる(図3のステップSb4)。
【0053】
それとともに、サーバ制御部32は、端末制御部23(A)から設定要求された認証情報の新規設定が完了した旨の新規設定完了通知情報を、サーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する(図3のステップSb5)。この新規設定完了通知情報を端末通信部24(A)で受けると(図2のステップSa4:YES)、端末制御部23(A)は、クライアントPC12(A)の認証情報の新規設定処理を終了する。なお、パスワード類は、所定の強度設定基準(半角英数記号を含む8桁以上等)を満たすことを設定可能条件にする。
【0054】
以上により、サーバ制御部32は、新規設定処理において、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が記憶部33に所定の許容限界数記憶されている場合には、端末制御部23(A)から設定要求されたパスワード類が所定の強度設定基準を満たしていても、当該設定要求されたパスワード類の記憶部33への記憶を不可にするステップを行う。
【0055】
なお、この同一のパスワード類の許容限界数は、複数に設定可能である。このため、複数に設定することで、複数の異なるIDに対して同一のパスワード類を設定することが可能になる。例えば、許容限界数を3つに設定すれば、3つの異なるIDに対して同一のパスワード類を設定して記憶部33に記憶することが可能となる一方、4つの異なるIDに対して同一のパスワード類を設定して記憶部33に記憶することは不可となる。
【0056】
また、クライアントPC12(A)の使用権限を有する認証情報のパスワード類を更新設定する場合、設定者は、クライアントPC12(A)の表示部22(A)の表示案内に沿って入力部21(A)にパスワード類の更新設定開始のための入力を行う。すると、端末制御部23(A)は、クライアントPC12(A)の使用権限を有する認証情報のパスワード類の更新設定処理を開始し、設定希望のパスワード類の入力部21(A)への設定入力を促す表示を表示部22(A)に表示させる。この表示にしたがって入力部21(A)に設定希望のパスワード類が入力されると(図2のステップSa1:YES)、端末制御部23(A)は、端末制御部23(A)の識別情報と、パスワード類の更新設定を要求する更新設定要求情報とともに、この設定希望のパスワード類を、端末通信部24(A)を介して認証サーバ10のサーバ通信部31に送信する(図2のステップSa2)。
【0057】
すると、認証サーバ10のサーバ制御部32においては、端末制御部23(A)からこの設定希望のパスワード類を受信することになって(図3のステップSb1:YES)、この設定希望のパスワード類が端末制御部23(A)から設定要求されたパスワード類となる。サーバ制御部32は、端末制御部23(A)から設定要求されたこのパスワード類と同一のパスワード類が、記憶部33に記憶されている上記の管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する(図3のステップSb2)。
【0058】
この判定で、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、上記の許容限界数記憶されている場合に(図3のステップSb2:YES)、サーバ制御部32は、この端末制御部23(A)から設定要求されたパスワード類が不適正であるため、変更要求情報をサーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する(図3のステップSb3)。この変更要求情報を端末通信部24(A)で受けると(図2のステップSa3:YES)、端末制御部23(A)は、設定希望のパスワード類が不適正である旨の表示を表示部22(A)に表示させてパスワード類の再入力を待機する(図2のステップSa1)。
【0059】
他方、この判定で、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、上記の許容限界数記憶されていない場合に(図3のステップSb2:NO)、サーバ制御部32は、この端末制御部23(A)から設定要求されたパスワード類が適正であるとして、このパスワード類を、クライアントPC12(A)の使用権限を有する認証情報のパスワード類として更新設定して記憶部33に記憶させる(図3のステップSb4)。
【0060】
それとともに、サーバ制御部32は、設定要求されたパスワード類の更新設定が完了した旨の更新設定完了通知情報を、サーバ通信部31からネットワーク13を介して端末通信部24(A)に送信する(図3のステップSb5)。この更新設定完了通知情報を端末通信部24(A)で受けると(図2のステップSa4:YES)、端末制御部23(A)は、クライアントPC12(A)の認証情報のパスワード類の更新設定処理を終了する。
【0061】
以上により、サーバ制御部32は、更新設定処理において、端末制御部23(A)から設定要求されたパスワード類と同一のパスワード類が記憶部33に所定の許容限界数記憶されている場合に、端末制御部23(A)から設定要求されたパスワード類が所定の強度設定基準を満たしていても、当該設定要求されたパスワード類の記憶部33への記憶を不可にするステップを行う。
【0062】
クライアントPC12(B)の使用権限を有する認証情報の新規設定処理の際には、上記と同様に、入力部21(B)に設定希望のIDと設定希望のパスワード類とが入力されると、端末制御部23(B)は、端末制御部23(B)の識別情報および新規設定要求情報とともに、これらの設定希望のIDと設定希望のパスワード類とからなる設定希望の認証情報を、認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(B)から設定要求されたこの認証情報に含まれる、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
【0063】
この判定で、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(B)が、設定希望の認証情報に含まれるパスワード類が不適正である旨の表示を表示部22(B)に表示させてパスワード類の再入力を待機する。
【0064】
他方、この判定で、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類を含む認証情報を、クライアントPC12(B)の使用権限を有する認証情報として新規設定して記憶部33に記憶させることになり、端末制御部23(B)は、認証情報の新規設定処理を終了する。
【0065】
また、クライアントPC12(B)の使用権限を有する認証情報のパスワード類の更新設定処理の際には、上記と同様に、入力部21(B)に設定希望のパスワード類が入力されると、端末制御部23(B)は、端末制御部23(B)の識別情報および更新設定要求情報とともに、この設定希望のパスワード類を認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
【0066】
この判定で、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(B)が、設定希望のパスワード類が不適正である旨の表示を表示部22(B)に表示させてパスワード類の再入力を待機する。
【0067】
他方、この判定で、端末制御部23(B)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(B)から設定要求されたこのパスワード類を、クライアントPC12(B)の使用権限を有する認証情報のパスワード類として更新設定して記憶部33に記憶させることになり、端末制御部23(B)は、パスワード類の更新設定処理を終了する。
【0068】
クライアントPC12(C)の使用権限を有する認証情報の新規設定処理の際には、上記と同様に、入力部21(C)に設定希望のIDと設定希望のパスワード類とが入力されると、端末制御部23(C)は、端末制御部23(C)の識別情報および新規設定要求情報とともに、これらの設定希望のIDと設定希望のパスワード類とからなる設定希望の認証情報を、認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(C)から設定要求されたこの認証情報に含まれる、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
【0069】
この判定で、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(C)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(C)が、設定希望の認証情報に含まれるパスワード類が不適正である旨の表示を表示部22(C)に表示させてパスワード類の再入力を待機する。
【0070】
他方、この判定で、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(C)から設定要求されたパスワード類を含む認証情報を、クライアントPC12(C)の使用権限を有する認証情報として新規設定して記憶部33に記憶させることになり、端末制御部23(C)は、認証情報の新規設定処理を終了する。
【0071】
また、クライアントPC12(C)の使用権限を有する認証情報のパスワード類の更新設定処理の際には、上記と同様に、入力部21(C)に設定希望のパスワード類が入力されると、端末制御部23(C)は、端末制御部23(C)の識別情報および更新設定要求情報とともに、この設定希望のパスワード類を認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(C)から設定要求されたこのパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
【0072】
この判定で、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(C)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(C)が、設定希望のパスワード類が不適正である旨の表示を表示部22(C)に表示させてパスワード類の再入力を待機する。
【0073】
他方、この判定で、端末制御部23(C)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(C)から設定要求されたパスワード類を、クライアントPC12(C)の使用権限を有する認証情報のパスワード類として更新設定して記憶部33に記憶させることになり、端末制御部23(C)は、パスワード類の更新設定処理を終了する。
【0074】
クライアントPC12(D)の使用権限を有する認証情報の新規設定処理の際には、上記と同様に、入力部21(D)に設定希望のIDと設定希望のパスワード類とが入力されると、端末制御部23(D)は、端末制御部23(D)の識別情報および新規設定要求情報とともに、これらの設定希望のIDと設定希望のパスワード類とからなる設定希望の認証情報を、認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(D)から設定要求されたこの認証情報に含まれる、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
【0075】
この判定で、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類が不適正であるため、変更要求情報を送信し、これを受けた端末制御部23(D)が、設定希望の認証情報に含まれるパスワード類が不適正である旨の表示を表示部22(D)に表示させてパスワード類の再入力を待機する。
【0076】
他方、この判定で、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類を含む認証情報を、クライアントPC12(D)の使用権限を有する認証情報として新規設定して記憶部33に記憶させることになり、端末制御部23(D)は、認証情報の新規設定処理を終了する。
【0077】
また、クライアントPC12(D)の使用権限を有する認証情報のパスワード類の更新設定処理の際には、上記と同様に、入力部21(D)に設定希望のパスワード類が入力されると、端末制御部23(D)は、端末制御部23(D)の識別情報および更新設定要求情報とともに、この設定希望のパスワード類を認証サーバ10に送信する。すると、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類と同一のパスワード類が、記憶部33に記憶されている管理エリア内のパスワード類の中に、所定の許容限界数記憶されているか否かを判定する。
【0078】
この判定で、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されている場合に、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類が不適正であるため変更要求情報を送信し、これを受けた端末制御部23(D)が、設定希望のパスワード類が不適正である旨の表示を表示部22(D)に表示させてパスワード類の再入力を待機する。
【0079】
他方、この判定で、端末制御部23(D)から設定要求されたパスワード類と同一のパスワード類が許容限界数記憶されていない場合に、サーバ制御部32は、端末制御部23(D)から設定要求されたこのパスワード類を、クライアントPC12(D)の使用権限を有する認証情報のパスワード類として更新設定して記憶部33に記憶させることになり、端末制御部23(D)は、パスワード類の更新設定処理を終了する。
【0080】
クライアントPC12(A)の使用権限を有する認証情報として新規設定あるいは更新設定されて記憶部33に記憶される認証情報、クライアントPC12(B)の使用権限を有する認証情報として新規設定あるいは更新設定されて記憶部33に記憶される認証情報、クライアントPC12(C)の使用権限を有する認証情報として新規設定あるいは更新設定されて記憶部33に記憶される認証情報は、それぞれ一つずつである。
【0081】
これに対し、クライアントPC12(D)の使用権限を有する認証情報として新規設定あるいは更新設定されて記憶部33に記憶される認証情報は、複数の設定が可能となっている。
【0082】
以上に述べた実施形態によれば、サーバ制御部32は、パスワード類の設定要求があったときに、設定要求されたパスワード類と同一のパスワード類が記憶部33に所定の許容限界数記憶されていなければ、当該設定要求されたパスワード類が所定の強度設定基準を満たしていることを条件に、当該設定要求されたパスワード類を記憶部33へ記憶する。他方で、サーバ制御部32は、パスワード類の設定要求があったときに、設定要求されたパスワード類と同一のパスワード類が記憶部33に所定の許容限界数記憶されている場合に、当該設定要求されたパスワード類が所定の強度設定基準を満たしていても、当該設定要求されたパスワード類の記憶部33への記憶を不可にする。このため、同一のパスワード類を含む認証情報が所定の許容限界数を超えて登録されてしまうことを防止できる。これにより、セキュリティが疎かになることを抑制できる。すなわち、例えば、異なる社員・職員同士がパスワード類を同一にしようとしても、所定の許容限界数を超える社員・職員がパスワード類を同一にすることを防止できる。よって、他人になりすましてのクライアントPC12等の電子機器の使用を含む管理エリア内での不正なログインを抑制することができる。例えば、ユーザ毎に異なる権限を付与して共用の端末装置を使い分けている場合には、制限されている機能の実行やファイルへのアクセスを防止することができる。したがって、パスワード類の有効性を高めることができ、セキュリティ性を高めることができる。
【0083】
例えば、使用許可者本人がログイン後に席を外して異なるIDでパスワードロックされたクライアントPC12に対しても、同一パスワード類を知る他人が、使用許可者本人になりすましてログインできてしまうケースを減らすことができる。また、クライアントPC12に対する使用許可者本人のICカードを他人が入手したとしても、同一パスワード類を知るこの他人が、使用許可者本人になりすましてログインできてしまうケースを減らすことができる。認証情報管理システム11における認証サーバ10の管理エリア内でのこれらのような不正利用を防止することができる。
【0084】
また、所定の許容限界数として、2つ、3つ等の複数を設定可能であるため、複数の管理者等、限られた小グループでのパスワード類の共用は可能となる。よって、使い勝手性の低下を抑制することができる。
【0085】
なお、以上の実施形態を、以下の変形例1,2のように変更することも可能である。
【0086】
[変形例1]
認証サーバ10の管理エリアにおいて、一定期間内(1時間~1カ月など期間を管理者が任意に指定)に、所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、当該パスワード等の設定を禁止する。一定期間を超えている場合は、ユーザが示し合わせたのではなく偶然に同じパスワードを設定したものとみなし、当該パスワードの設定を許可する。すなわち、サーバ制御部32は、設定要求されたパスワード類と同一のパスワード類が記憶部33に、設定要求があった時点を基準として遡る所定期間内に所定の許容限界数記憶されている場合に、当該設定要求されたパスワード類の記憶部33への記憶を不可にする。他方、サーバ制御部32は、設定要求されたパスワード類と同一のパスワード類が記憶部33に、設定要求があった時点を基準とする所定期間内に所定の許容限界数記憶されていなければ、当該設定要求されたパスワード類を記憶部33へ記憶する。このように、所定期間内に限って、同一のパスワード類が所定数を超えて登録されてしまうことを防止できるため、管理期間が長期間にわたることで生じるパスワード類の偶然の一致を制限から除外することができる。
認証サーバ10の管理エリアにおいて、一定期間内(1時間~1カ月など期間を管理者が任意に指定)に、所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、当該パスワード等の設定を禁止する。一定期間を超えている場合は、ユーザが示し合わせたのではなく偶然に同じパスワードを設定したものとみなし、当該パスワードの設定を許可する。すなわち、サーバ制御部32は、設定要求されたパスワード類と同一のパスワード類が記憶部33に、設定要求があった時点を基準として遡る所定期間内に所定の許容限界数記憶されている場合に、当該設定要求されたパスワード類の記憶部33への記憶を不可にする。他方、サーバ制御部32は、設定要求されたパスワード類と同一のパスワード類が記憶部33に、設定要求があった時点を基準とする所定期間内に所定の許容限界数記憶されていなければ、当該設定要求されたパスワード類を記憶部33へ記憶する。このように、所定期間内に限って、同一のパスワード類が所定数を超えて登録されてしまうことを防止できるため、管理期間が長期間にわたることで生じるパスワード類の偶然の一致を制限から除外することができる。
【0087】
[変形例2]
パスワード類の一致率を算出し、一致率が一定割合以上の場合は同一パスワード類とみなす。例えば、「password01」と「password02」と等、10文字中の9文字が同じの場合、同一パスワード類とみなす。これにより、例えば、最後の一文字を変える等することで同一パスワード類の数量制限を回避する不正を防ぐことができる。すなわち、サーバ制御部32は、一致率が、100%未満に設定される所定の割合以上の場合に同一のパスワード類とみなす一方、一致率がこの所定の割合未満の場合に異なるパスワード類とみなすため、少しの文字を変える等することで同一パスワードの数量制限を回避する不正を防ぐことができる。この変形例2は、変形例1に対しても適用可能である。
パスワード類の一致率を算出し、一致率が一定割合以上の場合は同一パスワード類とみなす。例えば、「password01」と「password02」と等、10文字中の9文字が同じの場合、同一パスワード類とみなす。これにより、例えば、最後の一文字を変える等することで同一パスワード類の数量制限を回避する不正を防ぐことができる。すなわち、サーバ制御部32は、一致率が、100%未満に設定される所定の割合以上の場合に同一のパスワード類とみなす一方、一致率がこの所定の割合未満の場合に異なるパスワード類とみなすため、少しの文字を変える等することで同一パスワードの数量制限を回避する不正を防ぐことができる。この変形例2は、変形例1に対しても適用可能である。
【0088】
[変形例3]
また、認証サーバ10の管理エリアにおいて、所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、当該パスワードの有効期間を通常より短く設定しパスワード類を早めに変更させるようにする。通常より短期間にパスワードを変更させることでセキュリティを高めることができる。この変形例3は、変形例2に対しても適用可能である。
また、認証サーバ10の管理エリアにおいて、所定の許容限界数を超える同一パスワード類が新規設定または更新設定された場合は、当該パスワードの有効期間を通常より短く設定しパスワード類を早めに変更させるようにする。通常より短期間にパスワードを変更させることでセキュリティを高めることができる。この変形例3は、変形例2に対しても適用可能である。
【0089】
[変形例4]
ユーザの属性(ランク等)に応じて、所定の許容限界数を設定するようにしてもよい。例えば、管理者のように強い権限を持つ場合は、所定の許容限界数を1に設定することでセキュリティを優先し、一般ユーザやゲストユーザの場合は、所定の許容限界数を比較的緩やかに設定することで、利便性を優先することが可能となる。すなわち、所定の許容限界数を使用者の属性毎に設定可能であるため、所定の許容限界数を少ない数に設定することでセキュリティを優先したり、所定の許容限界数を多い数に設定することで、利便性を優先したりすることが可能となる。
ユーザの属性(ランク等)に応じて、所定の許容限界数を設定するようにしてもよい。例えば、管理者のように強い権限を持つ場合は、所定の許容限界数を1に設定することでセキュリティを優先し、一般ユーザやゲストユーザの場合は、所定の許容限界数を比較的緩やかに設定することで、利便性を優先することが可能となる。すなわち、所定の許容限界数を使用者の属性毎に設定可能であるため、所定の許容限界数を少ない数に設定することでセキュリティを優先したり、所定の許容限界数を多い数に設定することで、利便性を優先したりすることが可能となる。
【符号の説明】
【0090】
10 認証サーバ(パスワード類管理装置)
11 認証情報管理システム(パスワード類管理システム)
12 クライアントPC(端末装置)
13 ネットワーク
21 入力部
32 サーバ制御部(制御部)
33 記憶部
11 認証情報管理システム(パスワード類管理システム)
12 クライアントPC(端末装置)
13 ネットワーク
21 入力部
32 サーバ制御部(制御部)
33 記憶部
【図1】
【図2】
【図3】