トレンド解説

ワンタイムパスワードとは? 仕組みやメリット・デメリットを解説

アイキャッチ
目次

クラウドサービスやSNSへのログイン時に利用するパスワードは、私たちの情報を守るために欠かせないものです。そんなパスワードをより強固なものとする「ワンタイムパスワード」をご存知でしょうか。この記事では、ワンタイムパスワードの概要から仕組み、メリット・デメリットについて解説します。

ワンタイムパスワードとは

ワンタイムパスワードとは一度だけ利用できるパスワードであり、その仕組みを利用した認証のことです。仮にパスワードを知られたとしても次のログイン時には利用できず、従来の(固定された)パスワードと比較し、セキュリティを高めることが可能です。

ワンタイムパスワードは社内システムへのログインだけでなく、金融機関では送金時などにも利用されており、高いセキュリティが要求される分野で普及が進んでいます。

近年では、リモートワークで社内ネットワークに接続する際に利用する例もあります。リモートワークの実現のため、一般企業でもクラウドサービスの業務利用が増えており、従来以上にパスワードの強化が必要とされていることから注目されている認証方式です。

ワンタイムパスワードの仕組み

ワンタイムパスワードの仕組みは大きく2つの方式に分けられます。それぞれの違いについて簡単に見ていきましょう。

チャレンジレスポンス方式

ユーザー側からサーバー側にアクセスを要求し、サーバー側からの応答に返答することでワンタイムパスワードを実現する方式です。以下のように実行され、毎回違ったレスポンスが生成されることになります。

  1. ユーザー側からサーバー側へアクセスを要求
  2. サーバー側からユーザー側へ「チャレンジ」を要求
  3. ユーザーが入力したパスワードなどからレスポンスを生成して応答
  4. サーバー側も、サーバーで保存してあるパスワードとチャレンジからレスポンスを生成し、それぞれが一致したら認証成功

タイムスタンプ方式

タイムスタンプ方式では数十秒ほど有効なパスワードが更新され続け、利用したいときに現在有効となっているパスワードを利用します。ユーザーは「トークン」と呼ばれる専用の機器やスマートフォンなどを使ってパスワードを確認し、認証に用います。

ワンタイムパスワードの発行方法

ワンタイムパスワードの通知方法には、おもに次の4つが挙げられます。

トークン

トークンはワンタイムパスワードを生成するための小型の機器です。USBメモリのような形状のものからカード状のものまでさまざまな種類のトークンが存在します。トークンはおもにタイムスタンプ方式で利用するものであり、機器のボタンを押すことで現在有効なパスワードが表示されるため、それを入力して利用します。小型の機器であることから紛失や盗難のリスクがあり、近年ではスマホアプリを利用するケースが増えてきました。

スマホアプリ

スマホアプリでもワンタイムパスワードを生成できます。有名なアプリとしてGoogleが無償提供している「Google認証システム」が挙げられるでしょう。Googleの認証システムと業務で利用する各種クラウドサービスや社内システムを連携させることで、スマホアプリでワンタイムパスワードが生成されます。

メール通知

Webサービスなどにあらかじめ登録しておいたメールアドレス宛てにワンタイムパスワードを送付する方法です。スマホアプリやトークンなどを別途用意する必要がなく、手軽に利用できる点がメリットです。

電話による音声案内

メール通知と同様にあらかじめ登録しておいた電話番号宛てに音声でパスワードが通知される方法です。昨今ではSMS(ショートメッセージサービス)を利用したワンタイムパスワードの生成も多く利用されています。

ワンタイムパスワードのメリット・デメリット

ワンタイムパスワードはメリットがある反面、知っておくべきデメリットも存在します。それぞれ紹介しますので、ひとつずつ見ていきましょう。

メリット

ワンタイムパスワードを利用する最大のメリットはセキュリティを強化できることです。従来のパスワードのみの認証に比べて、ワンタイムパスワードはトークン・スマホアプリ・メールアドレス・電話番号などを「所有」している人しか認証を通過できません。パスワードは知っていれば認証できる「知識要素」であり、2つを組み合わせることで二要素認証を実現できます。

また、従来のパスワード認証方式では個人がパスワードを正しく運用し続けなければなりませんが、ワンタイムパスワードであれば個人の努力に依存する割合は小さくなります。パスワード管理の負担が減らせることもメリットです。

デメリット

パスワードを入力する際に、ややユーザーの負担が高い傾向にあります。毎回、トークンなどに表示された文字列を正確に入力する必要があるためです。

また、トークンやスマートフォンの紛失・盗難によってワンタイムパスワード(の一部)を知られてしまうリスクがあります。

ワンタイムパスワードを利用する際に気を付けるべきことは、万全のセキュリティ体制を築けるとは限らないということです。

実際にワンタイムパスワードを利用していても、ユーザーが被害に遭う事例は報告されています。

ワンタイムパスワードはセキュリティの強化に役立つ認証方式です。「ワンタイムパスワードさえ導入すれば安心」と考えることは危険ですが、セキュリティの強化策として導入することをおすすめします。

ご参考


【ウェビナー】リモートアクセスの必須要件 ~ガイドラインが求める認証でセキュリティを強化する方法~ | ネットアテスト

netattest.com

og_img


記事を書いた人

ソリトンシステムズ・マーケティングチーム

Related Article

関連記事

BASICとは? 10分でわかりやすく解説の画像
トレンド解説

BASICとは? 10分でわかりやすく解説

  • コラム
More
ゴーストコントロール攻撃とは? 10分でわかりやすく解説の画像
トレンド解説

ゴーストコントロール攻撃とは? 10分でわかりやすく解説

  • コラム
More
ブルージャッキングとは? 10分でわかりやすく解説の画像
トレンド解説

ブルージャッキングとは? 10分でわかりやすく解説

  • コラム
More
アイランドホッピング攻撃とは? 10分でわかりやすく解説の画像
トレンド解説

アイランドホッピング攻撃とは? 10分でわかりやすく解説

  • コラム
More

Pickup ピックアップ

特集一覧

Category カテゴリー

Keyword キーワード

製造 金融 流通・小売 建設 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー 社内インタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次