ワンタイムパスワードとは？仕組み・受け取り方やメリット

最終更新日：2020-07-13（記事の情報は現在から1587日前のものです）

ワンタイムパスワードとは、一定時間ごとに更新される使い捨てのパスワードです。ワンタイムパスワードの意味や仕組み、受け取り方、メリットなどを解説します。

目次を閉じる

ワンタイムパスワードとは

ワンタイムパスワードとは、認証に用いる使い捨てのパスワードです。一定時間ごとにパスワードが自動で更新され、定められた時間を過ぎたパスワードは無効となります。ワンタイムパスワードは、固定パスワードと併用することで不正アクセスを防ぎやすくなるため、インターネットバンキングをはじめとした多くの企業にて導入が進んでいます。

二要素認証で活躍

認証方法には、IDや固定パスワードなど通常はユーザーのみが知っている情報による認証と、クレジットカードやトークンなどの媒体を使った認証、指紋や音声などを使った生体認証があります。

二要素認証とは、この3つの認証のうち異なる二つのものを併せて使うことです。生体認証の導入は高価なため特定の機関でしかまだ利用されていませんが、ワンタイムパスワードの導入は比較的安価なため、IDと固定パスワードによる認証とワンタイムパスワードによる二要素認証が、普及しつつあります。

ワンタイムパスワードの仕組み

ワンタイムパスワードの仕組みは、製品や企業のホームページによってどの方式を導入しているのかは異なります。実際に利用してもその内部の詳しい仕組みがわかるわけではありません。そこで、2つの代表的なワンタイムパスワードの生成方式である「時刻同期方式 (タイムスタンプ方式)」と「チャレンジ・レスポンス方式」についてや、その原理について紹介します。

時刻同期方式（タイムスタンプ方式）

この方法ではトークンというパスワードを作成するツールを利用して、ワンタイムパスワードを生成します。認証を行う際には自分の識別番号、すなわち「ID」と、トークンに表示されている「パスワード」を送信することで認証を受けることができます。この方式では、認証を受けるサーバー側があらかじめトークンの情報を把握しており、誰がどのトークンでどの時間にどの数値を表示するのかを共有しているからこそできる方法です。

しかし、時刻の同期によって認証されるためトークンとサーバー側の時刻にズレがある場合には正しく認証されないので、時刻の同期は必須となります。

チャレンジ・レスポンス方式

この方法では、利用側からサーバー側に認証のリクエストを送ることで、毎回ランダムで意味の持たない「チャレンジ (問題)」となる文字列を生成します。そして、そのチャレンジの文字列をもとにサーバー側と共有している情報を使って「レスポンス (答え)」の文字列を生成します。サーバーがチャレンジを毎回変えることでレスポンスも毎回変わるので、ワンタイムパスワードとして機能します。この二つが一致することによって認証される方式のことをチャレンジ・レスポンス方式といいます。

ワンタイムパスワードの受け取り方

ワンタイムパスワードの受け取り方は、下記の4つの方法が中心となります。

トークン

トークンは、小型の端末ないしカードにてパスワードを受け取ります。スマートフォンやパソコンを使わずにパスワードを取得できる点が特徴です。早い時期のネットバンキングは、トークンにて本人認証するよう促していました。

実際に、三井住友銀行やジャパンネット銀行にて使用されている受け取り方です。しかし、トークンの故障時や紛失時にサービスへログインできなくなることから、最近はアプリの利用を推奨されるケースが多いです。

アプリ

スマホにダウンロードできるアプリを利用してパスワードを入手する方法です。トークンのように専用の端末を持ち運ぶ必要がないので、スマホを利用している人であれば誰でも利用できます。

三井住友銀行のOne Time Passや三菱UFJ銀行のアプリなど専用アプリにてアクセスする方法と、Google 認証システムやIIJ SmartKeyのように第三者のアプリを利用する方法があります。

メール

メールアドレスにワンタイムパスワードを送ってもらう方法もあります。メーラーを起動して確認する手法です。アプリのような手軽さは薄れるため使用されるケースは多くないでしょう。

フリーメールアドレスを利用している人がメールの内容を外部の人に見られてしまい、被害を受けてしまったという例が過去にあります。そうした事例からも、メールを使って行う場合にはフリーアドレスではなくキャリアのメールを利用することをおすすめします。

音声

最後の方法は、事前に登録した電話番号へ音声で通知するものです。こちらは文字に残らないので流出しにくいというメリットがあるものの、忘れてしまうこともありうるので対策が必要かもしれません。

ワンタイムパスワードのメリット

ワンタイムパスワードを使うメリットは、大きく次の3つです。

不正アクセスを防ぐ

固定のパスワードは自分自身も覚えやすいように比較的短い数字と文字列を使用する方が多いですが、それだけに第三者に推測されやすくもなります。また、いったん悪意のある第三者にパスワードを入手されてしまうと、何かしらの被害を被ってしまう恐れがあります。

一度しか使えないワンタイムパスワードは意味をなさない文字列です。つまり推測がされにくく、セキュリティのレベルを高められます。このようにワンタイムパスワードでは、不正アクセスをある程度防げます。

パスワード管理の負担を減らす

多くのサービスでは定期的に、不正アクセス対策として定期的にパスワードの変更が要請されます。また、社員数の多い企業のシステム管理者にとって、社員ごとにパスワードを管理するのは手間でしょう。しかしワンタイムパスワードを利用すると、このような管理コストを抑えられます。

クラウドサービスへの対応

モバイルやスマートデバイスの普及からクラウドサービスの利用が大きく広がっており、社外からも会社の情報資産にアクセスする機会が増えています。その際に、アクセスしているユーザーが許可された利用者であるかの認証がぜい弱だと企業情報の漏洩につながる恐れがあります。ワンタイムパスワードは企業情報や個人情報の漏えい防止に有効です。

ワンタイムパスワードの仕組みを知り安心して利用しよう

これまでワンタイムパスワードについての仕組みを理解していなかった人は、本当に安全面で守られているのか疑問に感じていた人もいたのではないでしょうか。本記事を通して、実際には通常の固定のパスワードだけの利用よりもはるかに安全ということが理解いただけたと思います。どんなセキュリティでも100%安全ということはありませんが、ワンタイムパスワードは高度なセキュリティ技術の一つです。積極的に利用を進めてください。