KEYWORD ENCYCLOPEDIA

キーワード事典 | セキュリティに関するキーワードを解説

ワンタイムパスワード
英語表記:One Time Password

この記事をシェア

セキュリティ向上を目的に利用される一度きりしか使えないパスワード


ワンタイムパスワード(OTP)とは

ワンタイムパスワード(One Time Password:OTP)はその名のとおり、期間を限定し一回のみ利用可能なパスワードのことである。ネットバンキング上での取引をはじめ、安全性が強く求められるサービスにおいて、セキュリティ向上を目的に利用されることが多い。セキュリティ意識の高まりから、最近ではネットバンキングだけでなく、SNSや各種クラウドサービスのログイン時、モバイル決済の利用時、暗号資産(仮想通貨)の口座管理などでも利用されるようになっている。

例えば、ユーザーがIDとパスワードでネットバンキングのサービスにログインする。そして、振り込み操作を行う際に、後述するトークンやショートメールに表示されたワンタイムパスワードを入力することで振り込みが完了する、といった具合だ。

二段階認証と二要素認証

ワンタイムパスワードの仕組みは二段階認証二要素認証とも呼ばれる。この2つの認証方法は混同されがちだが、正確には意味合いが異なる。二段階認証は認証を2段階に分ける仕組みであり、二要素認証は認証要素を2つ組み合わせる方式となる。例えば、二要素認証はパスワードに加えて指紋などの生体要素を認証に組み込むなどのケースがある。ワンタイムパスワードが用いられる際は、パスワードとスマートフォン(以下、スマホ)などの所有要素と組み合わせて使うことが多いため、二要素認証となるのが一般的だ。

ワンタイムパスワードの仕組み

ワンタイムパスワードには、大きく分けて2つの仕組みがある。

1)チャレンジレスポンス認証

チャレンジレスポンス認証は、「チャレンジ」と称する、一回限りの乱数とパスワードを組み合わせた認証方式である。やり取りされるデータは基本的には暗号化される。サーバーとの間でパスワードを直接やり取りしないため、セキュリティレベルが向上するが、厳密には二要素認証ではない。

2)タイムスタンプ認証

タイムスタンプ認証は時刻同期方式とも呼ばれる。ワンタイムパスワードとその生成時刻をキーとする方法だ。セキュリティトークンと呼ばれるハードウェア、またはソフトウェアを使用してワンタイムパスワードを生成する。パスワードと生成時刻を突き合わせ、認証を行う。

ワンタイムパスワードの利用方法

ワンタイムパスワードを利用する方法は複数ある。

1)ハードウェアトークン

ドングル(キーホルダー)型やカード型など物理的な装置として提供されるのがハードウェアトークンである。トークンにあるボタンをクリックすることで、液晶などの画面にパスワードが表示される。独立したハードウェアであることから、使い勝手もよく、手軽にワンタイムパスワードを利用できるが、紛失のリスクがある。

2)ソフトウェアトークン

ハードウェアトークンが物理的な装置であるのに対し、ソフトウェアトークンは専用のスマホアプリなどパソコンのソフトウェア、あるいはWebブラウザーでアクセスする方式で提供される。近年では、ハードウェアトークンの製造コストや紛失リスクなどから、ソフトウェアトークンを利用するケースも増えている。

3)メール・SMS

メールやSMSにワンタイムパスワードを送信する方法。スマホアプリなどのソフトウェアトークンに比べ、その都度アプリを立ち上げる必要がないためユーザーの負担が少ない。ただし、SMSで送られてきたワンタイムパスワードの通知を、移動中や外出先で第三者に盗み見られる危険性はゼロではない。

4)電話(音声)

ワンタイムパスワードを電話で伝える仕組み。サービスの認証プロセスにおいて、パスワードを要求すると、あらかじめ登録された電話番号宛てに着信する。ユーザーがその着信に応答すると、機械による音声で生成されたパスワードが読み上げられる。メールやSMSと比較すると安全性が高いが、パスワードを一時的に暗記するかメモに取ることが求められる。従って、そのメモを盗み見されるリスクがあることは頭に入れておきたい。

ワンタイムパスワードのメリットとリスク

ワンタイムパスワードを利用することで、不正アクセスをはじめとしたセキュリティリスクは軽減される。先述のネットバンキングだけでなく、さまざまなサービスがインターネット上で利用されるようになってきており、今後もDX(デジタルトランスフォーメーション)推進の動きに伴い、行政手続きなどもインターネット上で行われるようになっていくことだろう。

ワンタイムパスワードの利用はそうした重要度の高い行為における安全性の向上につながるが、過去にはワンタイムパスワードの脆弱性を狙ったサイバー攻撃も生じていることには注意が必要だ。要するに、完全に安全という状態は存在せず、常にユーザーの厳重な注意が伴うことで高い安全性が確立されるのだ。今後も既存のワンタイムパスワードの技術をもとに、新たな方法が開発される可能性も考えられる。とはいえ、当面の間は既存のパスワードを用いるサービスも残り続けるだろう。

ユーザーとしては、サービスごとに自身にとっての重要性を考慮した上で、サービス側が提供している認証方法がそれに見合っているか、リスクを許容できるかを判断して利用するようにしてほしい。

この記事をシェア

情報漏えいのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!