ワンタイムパスワードを利用するためには、ワンタイムパスワードを生成し表示する「RSA SecurID認証トークン」、ユーザーのワンタイムパスワード認証を行うサーバー・ソフトウェア、RSA Authentication ManagerとワンタイムパスワードでプロテクトするRSA Authentication Manager に対応したソフトウェアやハードウェアが必要となります。

RSA Authentication Managerのワンタイムパスワード認証でプロテクトできるものにはMicrosoft WindowsやUNIXなどのOS、ファイアウォール、VPN、無線LAN、コミュニケーション・サーバーなどのネットワーク機器や、Webサーバーやデータベースなど幅広く使用することができます。
RSAセキュリティからは、以下のようなワンタイムパスワード認証でプロテクトするためのソフトウェアを提供しています。

ローカル＆リモート認証：

RSA Authentication Agent for Microsoft Windows
RSA Authentication Agent for UNIX
RSA Authentication Agent for PAM

Webサーバー用：

RSA Authentication Agent for Web for Sun Java Web Server
RSA Authentication Agent for Web for Apache
RSA Authentication Agent for Web for Microsoft IIS

そのほか、市販されているソフトウェア、ハードウェアにもRSA Authentication Managerのワンタイムパスワード認証でプロテクトできる機能を持つ製品が数多くあります。それらはRSA SecurID Readyプログラムに登録されており、個別の製品情報をWebサイトでご覧いただけます。

ワンタイムパスワードは、3つの要素から生成します。
ひとつは時刻です。もうひとつは、全てのSecurID認証トークンで固有の値をもつシード（種）。3つめの要素としてトークンコードを生成するためのアルゴリズムです。アルゴリズムにはRSA独自アルゴリズム（SID:64-bit）とAES(128-bit)アルゴリズムの2種類があります。(AESアルゴリズムはRSA ACE/Server 5.1以降でのみ利用可能です)

これら時刻、シード、アルゴリズムの3要素を使用しトークンコードを生成しています。 つまり、ACE/ServerとSecurID認証トークンの同期をとるのは｢時刻｣であることから、SecurIDは時間同期方式（タイムシンクロナス）のワンタイムパスワードと呼ばれます。

RSA Authentication Managerは時間のずれに関して、以下の方法で十分な対策をとっているため、常に正常に機能を果たします。

ユーザーが入力したトークンコード時間差が±1分以内の場合、RSA Authentication Manager側で時間のずれが認証時に自動補正され、時間差がオフセット値としてRSA Authentication Managerに記録されます。次回認証時にはこのオフセット値を基準として認証を行いますので、前回までの時間のずれを気にする必要がありません。

最後に認証を行ってからユーザーが入力したトークンコードの時間差が±2分以上3分以内の場合、RSA Authentication Managerはユーザーに次に表示されるトークンコードを要求します。ユーザーが次にトークンに表示されるコードを入力すると、そのユーザーは認証され、RSA Authentication Managerデータベースにある、ユーザーのトークンレコードのオフセット値が更新されます。

最後に認証を行ってからユーザーが入力したトークンコードの時間差が±4分以上の場合、
認証要求は拒否されてしまいます。デフォルト連続3回の認証失敗をすると、そのトークンのステータスはネクスト・トークンコード・モードになります。
このモードになると最後に認証を行ってから時間のずれが±10分以内の場合、SecurID認証トークンに表示される数字（この数字をトークンコードといいます。）を2回分連続して入力することにより、RSA Authentication Managerで時間のずれが補正され、時間差がオフセット値としてACE/Serverに記録されます。このオフセットにより次回認証時には前回までの時間のずれを気にする必要がありません。

さらに最後に認証を行ってから時間差が±12時間以内の場合、管理者がSecurID認証トークンをリシンクロナイゼーション(同期の取り直し)することによりSecurID認証トークンの時間のずれを強制的に補正します。

いいえ。 SecurID認証トークンの盗難、紛失による悪用を防ぐため、SecurID認証トークンに表示される数字（この数字をトークンコードといいます。）とPIN（Personal Identification Number）と呼ばれる通常4桁の個人識別番号を組み合わせて、ワンタイムパスワード（パスコードともいいます。）を作ります。これを二要素ユーザー認証と呼んでいます。通常、PINは初回認証時にユーザーが決めます。PINは銀行で使うキャッシュカードの暗証番号と同様で使用者のみが知るもので大切に保管されるべきものです。(RSA ACE/Server 5.2以降で提供しているPINLessトークン機能でユーザー認証をする設定になっている場合には、SecurID認証トークンが盗まれていた場合には、ユーザー認証が出来てしまう可能性がありますので、トークンの保管には十分ご注意ください。)

SecurID認証トークンを紛失したり盗まれるなどした場合は、すぐにRSA Authentication Managerの管理者へその旨を届け出てください。管理者は直ちに紛失したSecurID認証トークンを無効にします。ただし、RSA Authentication ManagerにはSecurIDによるワンタイムパスワード以外にも、有効期限付きの一時的なワンタイムパスワードを設定することができますので、SecurID認証トークンが無事手元に戻るまで、あるいは新しいSecurIDが届くまで、いままで使用していたPINと組み合わせた一時的なワンタイムパスワードを使用して、ユーザー認証を受けることができます。万が一、SecurID認証トークンを拾得したり盗んだ人がトークンの使用を試みた場合、「間違ったPIN」と表示されるトークンコードで3回連続して認証に失敗した時点で、この認証トークンは無効になります。

RSA SecurIDには大きく分けて3種類のトークンがあります。

(1)　ハードウェアトークン

ハードウェアトークンは、専用のハードウェアで作成されたトークンで、カード型またはキーホルダー型のトークンがあります。それぞれのトークンには液晶がついており、1分間に1回異なる数字(トークンコード)を表示します。
ハードウェアトークンの種類は以下の通りです。

RSA SecurID 800
RSA SecurID 700
RSA SecurID 520 （ピンパッド・タイプ）
RSA SecurID 200 （カード・タイプ）

(2)　ソフトウェアトークン

ソフトウェアトークンは、パーソナルコンピュータ、PDA、携帯電話などで動作するトークンです。それぞれのシステムの画面上にトークンコードが表示され、専用のハードウェアは必要としません。トークンコードの生成には、各システムの時計を利用しています。
ソフトウェアトークンの種類はこちら。

(3)　On-Demandトークン

認証が必要な時だけ、サーバーからワンタイム・パスワードをユーザーへ送信します。詳細はこちら。

※Authentication Manager 7.1以上またはSecurID Appliance 3.0以上が必要です。