SecurID

RSA SecurIDは、コンピューターユーザに割り当てられ、内蔵した時計と工場出荷時に生成されたシードレコード（ランダムな、一種の鍵。通常ASCII形式ファイルで提供されている）を基に、通常は30秒または60秒の一定間隔にワンタイムパスワードである認証コードを生成するセキュリティトークンを用いた認証機構である。

トークンには、表示部を持った小さな携帯用機器(最近ではUSB接続可能なものもある）によるハードウェアタイプと、PDAや携帯電話向けの「ソフトトークン」と呼ばれるソフトウェアタイプのものがある。シードレコードはトークンごとに異なり、トークンが購入された段階で認証を受ける環境のRSA SecurID専用認証サーバーに読み込まれる。サーバーの正式名称はRSA Authentication Managerで、旧称はACE/Serverである。シードレコードは基本的に128ビット長である。再認証コード生成までの間隔を30秒ごとに設定した導入例も見られる。

ハードウェアトークンは、リバース・エンジニアリングをかけられないよう 耐タンパー性を考慮した設計が採用されているが、あるセキュリティ・コミュニティによってRSA SecurIDをソフトウェアだけでエミュレートするプログラムが開発されていることが確認されている。しかし、このソフトウェアを用いてなりすましを成功させるには、その時点で対象ユーザー向けに有効にインストールされているシードレコードを入手する必要がある。このシードレコードを入手するには、RSA SecurID専用認証サーバーにアクセスするか、他の記憶メディア上にコピーされたものを持ち出す必要があり、エミュレートプログラムの開発者も内容を推測することは困難だろうとコメントしている^[1]。RSA SecurID認証スキームにおいて、シードレコードはワンタイムパスワード(OTP)生成に用いる秘密鍵である。

ソフトトークンは、耐タンパー性を持ったハードウェアトークンに実装されているものと同じアルゴリズムを持っているにすぎない。ソフトトークンでは、ハードウェアトークンと異なり、OTP生成時にローカル環境にシードレコードが必要なため、シードレコードが導入時にクライアントコンピューターにファイル形式で配布される。ハードウェアトークンの最新モデルの中には、USB接続端子を持ち、デジタル証明書をより安全に格納するためのスマートカードとして利用できるものもある^[2]。

ネットワークリソース(例えばダイアルインサーバ、ファイアウォール)に対して認証を受けるユーザーは、暗証番号 (PIN)とその時点でRSA SecurIDトークン上に表示されている認証コードの両方を入力する必要がある。ただし、PINを用いず認証コードのみを用いて認証するシステムも構築でき、実際の事例も存在する。RSA SecurID専用認証サーバーは、実際の時刻と一致した時計と有効なカードと対応するシードレコードの一覧を内蔵しており、ユーザーから認証請求が来ると、その時刻にトークンに表示されているはずの数字を計算し、ユーザーが入力した数字と比較する。両者が一致すればアクセスを許可し、一致しなければ拒否する。

RSA SecurIDはネットワークに強固なセキュリティレイヤを追加する。しかし、一般に時刻同期型のトークンでは、認証サーバーの時計と認証トークンの時計の同期がとれていない場合、問題が生じることが予想される。このような場合、RSA SecurID専用認証サーバーには、ユーザーに影響を与えないよう自動的に時計のずれを修正する機能が用意されている。また、RSA SecurID専用認証サーバーとトークンを手動で再同期させることもできる。

IDCによればRSA SecurIDは現在、二要素認証市場の70%を占め、2500万個以上のトークンがこれまでに生産されている。OneSpan（英語版） (VASCO)のなどの競合企業が同様のセキュリティトークンを製造している。

RSAセキュリティは、SanDisk、Motorola、 フリースケール・セミコンダクタ、Redcannon、Broadcom、BlackBerryなどのデバイスメーカーと提携し、USBフラッシュメモリを内蔵した機器や携帯電話などの日常用いる機器にSecurIDのソフトウェアを組み込むことで、コストとユーザーが携帯しなければならない機器の数を減らすための「ユビキタス認証」という運動を推進している。OPIEやS/Keyのような他のネットワーク認証システムでは、専用のハードウェアトークンを必要としない「何かしら持っているもの」を使った認証レベルを提供しようと試みている。