ワンタイムパスワードとは? 仕組みやメリット・デメリットを解説
クラウドサービスやSNSへのログイン時に利用するパスワードは、私たちの情報を守るために欠かせないものです。そんなパスワードをより強固なものとする「ワンタイムパスワード」をご存知でしょうか。この記事では、ワンタイムパスワードの概要から仕組み、メリット・デメリットについて解説します。
ワンタイムパスワードとは
ワンタイムパスワードとは一度だけ利用できるパスワードであり、その仕組みを利用した認証のことです。仮にパスワードを知られたとしても次のログイン時には利用できず、従来の(固定された)パスワードと比較し、セキュリティを高めることが可能です。
ワンタイムパスワードは社内システムへのログインだけでなく、金融機関では送金時などにも利用されており、高いセキュリティが要求される分野で普及が進んでいます。
近年では、リモートワークで社内ネットワークに接続する際に利用する例もあります。リモートワークの実現のため、一般企業でもクラウドサービスの業務利用が増えており、従来以上にパスワードの強化が必要とされていることから注目されている認証方式です。
ワンタイムパスワードの仕組み
ワンタイムパスワードの仕組みは大きく2つの方式に分けられます。それぞれの違いについて簡単に見ていきましょう。
チャレンジレスポンス方式
ユーザー側からサーバー側にアクセスを要求し、サーバー側からの応答に返答することでワンタイムパスワードを実現する方式です。以下のように実行され、毎回違ったレスポンスが生成されることになります。
- ユーザー側からサーバー側へアクセスを要求
- サーバー側からユーザー側へ「チャレンジ」を要求
- ユーザーが入力したパスワードなどからレスポンスを生成して応答
- サーバー側も、サーバーで保存してあるパスワードとチャレンジからレスポンスを生成し、それぞれが一致したら認証成功
タイムスタンプ方式
タイムスタンプ方式では数十秒ほど有効なパスワードが更新され続け、利用したいときに現在有効となっているパスワードを利用します。ユーザーは「トークン」と呼ばれる専用の機器やスマートフォンなどを使ってパスワードを確認し、認証に用います。
ワンタイムパスワードの発行方法
ワンタイムパスワードの通知方法には、おもに次の4つが挙げられます。
トークン
トークンはワンタイムパスワードを生成するための小型の機器です。USBメモリのような形状のものからカード状のものまでさまざまな種類のトークンが存在します。トークンはおもにタイムスタンプ方式で利用するものであり、機器のボタンを押すことで現在有効なパスワードが表示されるため、それを入力して利用します。小型の機器であることから紛失や盗難のリスクがあり、近年ではスマホアプリを利用するケースが増えてきました。
スマホアプリ
スマホアプリでもワンタイムパスワードを生成できます。有名なアプリとしてGoogleが無償提供している「Google認証システム」が挙げられるでしょう。Googleの認証システムと業務で利用する各種クラウドサービスや社内システムを連携させることで、スマホアプリでワンタイムパスワードが生成されます。
メール通知
Webサービスなどにあらかじめ登録しておいたメールアドレス宛てにワンタイムパスワードを送付する方法です。スマホアプリやトークンなどを別途用意する必要がなく、手軽に利用できる点がメリットです。
電話による音声案内
メール通知と同様にあらかじめ登録しておいた電話番号宛てに音声でパスワードが通知される方法です。昨今ではSMS(ショートメッセージサービス)を利用したワンタイムパスワードの生成も多く利用されています。
ワンタイムパスワードのメリット・デメリット
ワンタイムパスワードはメリットがある反面、知っておくべきデメリットも存在します。それぞれ紹介しますので、ひとつずつ見ていきましょう。
メリット
ワンタイムパスワードを利用する最大のメリットはセキュリティを強化できることです。従来のパスワードのみの認証に比べて、ワンタイムパスワードはトークン・スマホアプリ・メールアドレス・電話番号などを「所有」している人しか認証を通過できません。パスワードは知っていれば認証できる「知識要素」であり、2つを組み合わせることで二要素認証を実現できます。
また、従来のパスワード認証方式では個人がパスワードを正しく運用し続けなければなりませんが、ワンタイムパスワードであれば個人の努力に依存する割合は小さくなります。パスワード管理の負担が減らせることもメリットです。
デメリット
パスワードを入力する際に、ややユーザーの負担が高い傾向にあります。毎回、トークンなどに表示された文字列を正確に入力する必要があるためです。
また、トークンやスマートフォンの紛失・盗難によってワンタイムパスワード(の一部)を知られてしまうリスクがあります。
ワンタイムパスワードを利用する際に気を付けるべきことは、万全のセキュリティ体制を築けるとは限らないということです。
実際にワンタイムパスワードを利用していても、ユーザーが被害に遭う事例は報告されています。
ワンタイムパスワードはセキュリティの強化に役立つ認証方式です。「ワンタイムパスワードさえ導入すれば安心」と考えることは危険ですが、セキュリティの強化策として導入することをおすすめします。
ご参考
Pickup ピックアップ
-
イベント報告
【ウェビナー】「医療情報システムの安全管理に関するガイドライン」に基づくランサムウェア等へのセキュリティ対策と導入事例/効果に...
-
インタビュー
「切れない」VPNに認証の側面から安心をプラス|Absolute Secure Access ✕ Soliton OneGat...
-
イベント報告
【ウェビナー】知っておきたい「医療ガイドライン第6.0版」のポイントと、求められるセキュリティ対策とは?|アクシオ×ソリトンシ...
-
インタビュー
フルマネージドの連携ソリューションで快適かつ安全な無線環境を負荷なく実現|Hypersonix × Soliton OneGa...
-
インタビュー
「まずは認証から」現場の課題に寄り添い、実現可能なゼロトラストセキュリティソリューションを提案|萩原テクノソリューションズ×ソ...