ワンタイムパスワードとは？一度しか使えないパスワードで、不正ログインや不正アクセスを防止するセキュリティ対策

ワンタイムパスワードとは？

ワンタイムパスワード（OTP）とは、一度だけ有効なパスワードのことを指します。一般的には、ログインや取引などのセキュリティの高い操作を行う際に使用されます。

ワンタイムパスワードはランダムな数字や文字列などで構成され、事前に発行された専用のデバイスやアプリケーションを使って生成されます。生成されたパスワードは一度だけ有効なため、セキュリティ性能が高く、不正アクセスやハッキングからの保護に役立ちます。

ワンタイムパスワードは、次のように使用されます。ユーザーは、ログイン画面や取引画面などでユーザー名とパスワードを入力した後、OTPを生成するためのデバイスやアプリケーションを使用して、一度だけ有効なOTPを取得します。取得したOTPを入力することで、ログインや取引などの操作が許可されます。OTPは、一度使用すると無効になり、再度利用するためには新しいOTPを生成する必要があります。

携帯電話やスマートフォン、USBキーなどのデバイスや、Google Authenticatorなどのアプリケーションを使用して発行することができ、利用する上で比較的手軽です。

ワンタイムパスワードの具体例とは？

ワンタイムパスワードの例としては、以下のようなものが挙げられます。

1. SMS
   携帯電話に送信されたメッセージに記載された数字列を、ログイン画面などに入力することで認証が行われます。
   事前に電話番号の登録が必要になります。
2. ソフトウェアトークン
   パソコン上で動作するソフトウェアやスマホアプリによって、パスワードを生成します。
3. ハードウェアトークン
   USBキーのようなデバイスによって、パスワードを生成します。紛失や盗難のリスクがあります。

これらの方法によって生成されたパスワードは、一度使用すると無効になります。再度利用するためには新しいパスワードを生成する必要があります。

タイムスタンプ方式とは？

タイムスタンプ方式とは、時間をもとにパスワードを生成する方式です。この方式では、あらかじめ事前に共有された秘密鍵と、現在の時間（タイムスタンプ）を元に、一度だけ有効なパスワードを生成します。

具体的には、共有された秘密鍵と現在の時間をもとに、ハッシュ関数によって一定の計算を行い、その結果をトークンとして生成します。このトークンは、一定の期間内（例えば30秒程度）に限定された有効期間を持ち、その期間内に限り認証に使用することができます。

この方式は、パスワード生成に使用するデバイスやアプリケーションに時刻同期機能が必要になるため、少し複雑な処理が必要になります。しかし、秘密鍵が漏洩しても、有効期間が過ぎればパスワードが漏洩することはなく、セキュリティが高いという利点があります。

チャレンジレスポンス認証方式とは？

チャレンジレスポンス認証方式とは、サーバーが生成したランダムなチャレンジに対して、ユーザーがランダムなレスポンスを返すことで認証を行う方式です。

具体的には、サーバーがランダムなチャレンジを生成し、それをクライアント（ユーザー）に送信します。ユーザーは、共有された秘密鍵をもとに、そのチャレンジを元にレスポンスを生成し、それをサーバーに送信します。サーバーは、同じ秘密鍵を用いて、クライアントから送信されたレスポンスが正しいかどうかを判定して、認証を行います。

この方式は、共有された秘密鍵が漏洩しても、クライアントが送信するレスポンスがランダムであるため、不正なアクセスに対するセキュリティが高くなります。しかし、チャレンジとレスポンスが送信される過程で、通信媒体による盗聴や中間者攻撃による漏洩のリスクがあるため、通信プロトコルによっては、さらなるセキュリティ強化が必要な場合があります。

カウンタ同期認証方式とは？

カウンタ同期認証方式とは、認証サーバーとユーザーの間で共有されるカウンタを使って、パスワードの生成と認証を行う方式です。

認証サーバーからユーザーにカウンタを送信します。ユーザーは、手元のトークンでカウンタの回数だけワンタイムパスワードを発行します。ユーザーは最終的なパスワードを送信し、認証サーバーは照合を行います。

パスワードは、事前に共有された秘密鍵とカウンタで生成されます。

この方式は、タイムスタンプ方式と比べて認証サーバーとの同期が必要なく、パスワード生成に必要な情報が短くなるため、システムの実装が比較的容易であることが特徴です。ただし、カウンタ値が漏洩すると危険なため、十分なセキュリティ対策が必要です。

マトリクス認証方式とは？

マトリクス認証方式とは、あらかじめユーザーと認証システム間で共有されるマトリクス表（ランダムな文字列が書かれた表）を使って、パスワードの生成と認証を行う方式です。

ユーザーに対して、マトリクス表が配布されます。ユーザーはログインするたび、認証システムからマトリクス表の位置を指定されます。ユーザーは指定された位置の文字列を取り出して、それを元にパスワードを生成し、認証システムに送信します。認証システムはあらかじめ共有されたマトリクス表を持っており、ユーザーから送信されたパスワードと照合することで認証を行います。

ユーザーが常にランダムな数字を入力する必要があるため、不正アクセスされる可能性が低いというメリットがあります。また、ランダムな数字を取り出す位置を変えることで、ユーザーが同じパスワードを再利用することを防ぐことができます。ただし、マトリクス表が漏洩した場合には不正アクセスされる危険性があるため、適切なセキュリティ対策が必要です。

ワンタイムパスワードの導入事例とは？

ワンタイムパスワードは、オンラインサービスや金融機関など、セキュリティが必要な様々な分野で広く使用されています。以下に、主なワンタイムパスワードの導入事例をいくつか挙げます。

1. オンラインサービス
   ユーザーが自分のアカウントにログインするために、ユーザー名とパスワードの組み合わせが必要です。これに加えて、ワンタイムパスワードを要求することで、より高いセキュリティを確保できます。例えば、Googleでは、Google Authenticatorというアプリを使用して、ワンタイムパスワードを生成しています。
2. 金融機関
   金融機関では、ATMやネットバンキングなどのサービスで利用されることが一般的です。例えば、銀行口座の取引履歴を閲覧する際には、ワンタイムパスワードが必要になることがあります。また、クレジットカードのオンライン決済でも、ワンタイムパスワードが利用されることがあります。
3. VPN（仮想プライベートネットワーク）
   VPNは、インターネットを通じて接続された複数のネットワークを安全に接続するために使用されます。VPNには、ユーザーがアクセスする前に、ワンタイムパスワードによる認証を行うことができます。VPN接続が安全に保たれ、不正アクセスを防止できます。

ワンタイムパスワードは、オンラインサービスや金融機関、VPNなど、セキュリティが必要な様々な分野で使用され、セキュリティ強化に寄与しています。

ワンタイムパスワードを提供している代表的な企業は？

ワンタイムパスワードを提供している代表的な企業には、以下のようなものがあります。

1. Google
   Google Authenticatorというアプリケーションを提供しています。GoogleアカウントのログインやGoogleが提供するサービスの利用において、ワンタイムパスワードを生成することができます。
2. Microsoft
   Microsoft Authenticatorというアプリケーションを提供しています。MicrosoftアカウントやOffice 365などのサービスのログインにおいて、ワンタイムパスワードを生成することができます。
3. RSAセキュリティ
   RSAセキュリティは、SecurIDトークンと呼ばれるデバイスを提供しています。デバイスに搭載された液晶画面にワンタイムパスワードが表示されます。このデバイスを利用することで、企業のVPNやウェブサイトへのログインにおいて、ワンタイムパスワードを生成することができます。
4. シマンテック
   シマンテックは、VIP Accessというアプリケーションを提供しています。このアプリケーションを利用したアプリケーションやWebサイトのログインにおいて、ワンタイムパスワードを生成することができます。

他にも、Yubico、Duo Security、Authyなどの企業がワンタイムパスワードの提供を行っています。

松下 将大

Front-end , Back-end engineer

1990年生まれ。複数のシステム開発会社にてPHP、VB.NET、C#を経験。2022年からフリーランスに。応用情報技術者試験合格。10年以上の業界経験を活かし、「PHPのエラーが直せなくなった…」「WordPressのカスタマイズをしたい…」「よくわからないけど動かない…」などのお悩み解決をお手伝いいたします。メンターご相談はこちらから