トレンド解説 2022/05/23

ワンタイムパスワードとは？仕組みやメリット・デメリットを解説

クラウドサービスやSNSへのログイン時に利用するパスワードは、私たちの情報を守るために欠かせないものです。そんなパスワードをより強固なものとする「ワンタイムパスワード」をご存知でしょうか。この記事では、ワンタイムパスワードの概要から仕組み、メリット・デメリットについて解説します。

ワンタイムパスワードとは

ワンタイムパスワードとは一度だけ利用できるパスワードであり、その仕組みを利用した認証のことです。仮にパスワードを知られたとしても次のログイン時には利用できず、従来の（固定された）パスワードと比較し、セキュリティを高めることが可能です。

ワンタイムパスワードは社内システムへのログインだけでなく、金融機関では送金時などにも利用されており、高いセキュリティが要求される分野で普及が進んでいます。

近年では、リモートワークで社内ネットワークに接続する際に利用する例もあります。リモートワークの実現のため、一般企業でもクラウドサービスの業務利用が増えており、従来以上にパスワードの強化が必要とされていることから注目されている認証方式です。

ワンタイムパスワードの仕組み

ワンタイムパスワードの仕組みは大きく2つの方式に分けられます。それぞれの違いについて簡単に見ていきましょう。

チャレンジレスポンス方式

ユーザー側からサーバー側にアクセスを要求し、サーバー側からの応答に返答することでワンタイムパスワードを実現する方式です。以下のように実行され、毎回違ったレスポンスが生成されることになります。

ユーザー側からサーバー側へアクセスを要求
サーバー側からユーザー側へ「チャレンジ」を要求
ユーザーが入力したパスワードなどからレスポンスを生成して応答
サーバー側も、サーバーで保存してあるパスワードとチャレンジからレスポンスを生成し、それぞれが一致したら認証成功

タイムスタンプ方式

タイムスタンプ方式では数十秒ほど有効なパスワードが更新され続け、利用したいときに現在有効となっているパスワードを利用します。ユーザーは「トークン」と呼ばれる専用の機器やスマートフォンなどを使ってパスワードを確認し、認証に用います。

ワンタイムパスワードの発行方法

ワンタイムパスワードの通知方法には、おもに次の4つが挙げられます。

トークン

トークンはワンタイムパスワードを生成するための小型の機器です。USBメモリのような形状のものからカード状のものまでさまざまな種類のトークンが存在します。トークンはおもにタイムスタンプ方式で利用するものであり、機器のボタンを押すことで現在有効なパスワードが表示されるため、それを入力して利用します。小型の機器であることから紛失や盗難のリスクがあり、近年ではスマホアプリを利用するケースが増えてきました。

スマホアプリ

スマホアプリでもワンタイムパスワードを生成できます。有名なアプリとしてGoogleが無償提供している「Google認証システム」が挙げられるでしょう。Googleの認証システムと業務で利用する各種クラウドサービスや社内システムを連携させることで、スマホアプリでワンタイムパスワードが生成されます。

メール通知

Webサービスなどにあらかじめ登録しておいたメールアドレス宛てにワンタイムパスワードを送付する方法です。スマホアプリやトークンなどを別途用意する必要がなく、手軽に利用できる点がメリットです。

電話による音声案内

メール通知と同様にあらかじめ登録しておいた電話番号宛てに音声でパスワードが通知される方法です。昨今ではSMS（ショートメッセージサービス）を利用したワンタイムパスワードの生成も多く利用されています。

ワンタイムパスワードのメリット・デメリット

ワンタイムパスワードはメリットがある反面、知っておくべきデメリットも存在します。それぞれ紹介しますので、ひとつずつ見ていきましょう。

メリット

ワンタイムパスワードを利用する最大のメリットはセキュリティを強化できることです。従来のパスワードのみの認証に比べて、ワンタイムパスワードはトークン・スマホアプリ・メールアドレス・電話番号などを「所有」している人しか認証を通過できません。パスワードは知っていれば認証できる「知識要素」であり、2つを組み合わせることで二要素認証を実現できます。

また、従来のパスワード認証方式では個人がパスワードを正しく運用し続けなければなりませんが、ワンタイムパスワードであれば個人の努力に依存する割合は小さくなります。パスワード管理の負担が減らせることもメリットです。