PHPでワンタイムパスワードのリプレイ攻撃対策

使用済みのワンタイムパスワードを再利用できないようにするには、データベースやキャッシュに保存する方法が一般的です。以下に、PHPでデータベースとキャッシュを利用した具体的な対策例を紹介します。

データベースを利用する場合

データベースにテーブルを作成し、以下のカラムを定義します。
- user_id: ユーザーID
- otp: ワンタイムパスワード
- timestamp: ワンタイムパスワードの生成時刻
ワンタイムパスワードを生成したら、データベースにレコードを挿入します。

1
<?php
2

3
$userId = 1; // ユーザーID
4
$otp = generateOTP(); // ワンタイムパスワードを生成
5
$timestamp = time(); // 現在時刻を取得
6

7
$db = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');
8
$stmt = $db->prepare('INSERT INTO otps (user_id, otp, timestamp) VALUES (:user_id, :otp, :timestamp)');
9
$stmt->bindParam(':user_id', $userId);
10
$stmt->bindParam(':otp', $otp);
11
$stmt->bindParam(':timestamp', $timestamp);
12
$stmt->execute();
13

14
?>

ワンタイムパスワードを検証する前に、データベースにレコードが存在するか確認します。

1
<?php
2

3
$userId = 1; // ユーザーID
4
$otp = '123456'; // 入力されたワンタイムパスワード
5
$timestamp = time(); // 現在時刻を取得
6

7
$db = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');
8
$stmt = $db->prepare('SELECT * FROM otps WHERE user_id = :user_id AND otp = :otp AND timestamp >= :timestamp - 30'); // 過去30秒以内に生成されたワンタイムパスワードのみ検証
9
$stmt->bindParam(':user_id', $userId);
10
$stmt->bindParam(':otp', $otp);
11
$stmt->bindParam(':timestamp', $timestamp);
12
$stmt->execute();
13

14
$result = $stmt->fetchAll();
15

16
if (count($result) > 0) {
17
  // ワンタイムパスワードが有効
18
  echo 'Valid OTP';
19

20
  // 使用済みのワンタイムパスワードを削除
21
  $stmt = $db->prepare('DELETE FROM otps WHERE user_id = :user_id AND otp = :otp');
22
  $stmt->bindParam(':user_id', $userId);
23
  $stmt->bindParam(':otp', $otp);
24
  $stmt->execute();
25
} else {
26
  // ワンタイムパスワードが無効
27
  echo 'Invalid OTP';
28
}
29

30
?>

キャッシュを利用する場合

Memcached や Redis などのキャッシュサーバーをインストールします。
ワンタイムパスワードを生成したら、キャッシュに保存します。

1
<?php
2

3
$userId = 1; // ユーザーID
4
$otp = generateOTP(); // ワンタイムパスワードを生成
5
$timestamp = time(); // 現在時刻を取得
6

7
$memcached = new Memcached();
8
$memcached->addServer('localhost', 11211);
9
$memcached->set($userId . ':' . $otp, $timestamp, 30); // 30秒間キャッシュする
10

11
?>

ワンタイムパスワードを検証する前に、キャッシュにレコードが存在するか確認します。

1
<?php
2

3
$userId = 1; // ユーザーID
4
$otp = '123456'; // 入力されたワンタイムパスワード
5
$timestamp = time(); // 現在時刻を取得
6

7
$memcached = new Memcached();
8
$memcached->addServer('localhost', 11211);
9
$cachedTimestamp = $memcached->get($userId . ':' . $otp);
10

11
if ($cachedTimestamp !== false && $cachedTimestamp >= $timestamp - 30) {
12
  // ワンタイムパスワードが有効
13
  echo 'Valid OTP';
14

15
  // キャッシュからレコードを削除
16
  $memcached->delete($userId . ':' . $otp);
17
} else {
18
  // ワンタイムパスワードが無効
19
  echo 'Invalid OTP';
20
}
21

22
?>

その他の対策

ワンタイムパスワードの長さを十分に長くする (少なくとも 6 桁)
ワンタイムパスワードの有効期限を短くする (30 秒など)
ワンタイムパスワードを複数回入力できないようにする (例えば、入力画面に残り試行回数カウンターを表示する)

これらの対策を組み合わせることで、より安全な二段階認証システムを構築することができます。