チャレンジレスポンス方式

チャレンジ レスポンス方式とは、主にワンタイム パスワードで使用されるパスワード認証の手法です。ワンタイム パスワード以外では、PPP（Point to Point Protocol）の認証プロトコルであるCHAP（Challenge Handshake Authentication Protocol）や、Wi-Fiアクセス ポイントの端末認証等で利用されています。

チャレンジ レスポンス方式では、認証を受ける側（クライアント）が、認証する側（サーバ）に対して、ユーザID等を使用した認証要求を行います。これに対してサーバは、ランダムに生成したチャレンジという情報をクライアントに送信すると共に、自分自身もクライアントが生成するはずのレスポンスを生成しておきます。クライアントは、このチャレンジと自分のパスワードからハッシュ値を計算することでレスポンスを生成し、サーバに送信します。サーバはこのレスポンスを自分自身が生成したレスポンスと比較し、同一であれば認証を成功させます。

チャレンジとして送られてくる値は毎回ランダムな値であり、生成されるレスポンスも毎回異なるため、経路上で盗聴されてもセキュリティ上の問題が発生しにくいという特徴があります。しかしパスワードが盗み出された場合には、不正アクセスが発生する可能性があります。

このような問題を回避するため、チャレンジ レスポンス方式を採用したワンタイム パスワードでは、ユーザにIDとパスワードを入力させた上で、これとは別の通信経路とデバイス（スマートフォン等）を使用し、チャレンジとレスポンスのやり取りを行うようになっています。チャレンジの配信方法としては、SMS（ショート メッセージ）を使う方法やメールで送信する方法、スマートフォンの専用アプリを使う方法等があります。認証を2段階で行うため「2段階認証」、あるいは「2要素認証」と呼ばれることもあります。

F5の「F5 BIG-IP Access Policy Manager（APM）」を利用することで、チャレンジ レスポンス型のワンタイム パスワードを導入しやすくなります。