ちょっと前からFFXI（というかPOL）にもワンタイムパスワード方式が導入されました。
手元にはセキュリティトークンというボタン一個と数字列の表示窓が一個あるだけのシンプルな機器があるだけで、ログイン時にはこのトークンのボタンを押して表示される数字列をパスワードとして使用するという仕組み。

この方式って、一見ちょっと不思議ですよね。
一体どうやってパスワードの妥当性を判定しているのか。
私もその点がどうしても気になって、仕事柄知っておいた方も良いとも思って調べてみました。

疑問点の一つは、パスワードの生成に使われるキー（種）は何なのか。
まぁこの内一つはトークンのシリアルIDであることは明確で、もう一つは時刻だろうという推測は立ちます。
しかしこのトークンは前述の通り本当にシンプルな作りで、時刻合わせの仕組みも付いていないように見えます。
それで上手くサーバ側とマッチング取れるんだろうか？と思う訳ですが、そこはそれ、さすがに考慮されているようです。(^^;)

一般的な仕組みについては以下のサイトが非常に参考になりました。
　「RSA Authentication Managerー一般基礎編ー」
　「ワンタイム・パスワード - 情報セキュリティ入門」
（PINコードに相当するのが、スクエニアカウントのパスワードかな？）

ちなみにPOL用トークンはVASCO社のもので、32秒でパスワードが切り替わるらしい。

調べてみて、なかなか面白くためになりました。