ワンタイムパスワード(OTP)の関連情報

コピー完了

記事TOP

ワンタイムパスワードとは?仕組み・受け取り方やメリット

最終更新日:(記事の情報は現在から1345日前のものです)
ワンタイムパスワードとは、一定時間ごとに更新される使い捨てのパスワードです。ワンタイムパスワードの意味や仕組み、受け取り方、メリットなどを解説します。

ワンタイムパスワードとは

ワンタイムパスワードとは、認証に用いる使い捨てのパスワードです。一定時間ごとにパスワードが自動で更新され、定められた時間を過ぎたパスワードは無効となります。ワンタイムパスワードは、固定パスワードと併用することで不正アクセスを防ぎやすくなるため、インターネットバンキングをはじめとした多くの企業にて導入が進んでいます。

二要素認証で活躍

認証方法には、IDや固定パスワードなど通常はユーザーのみが知っている情報による認証と、クレジットカードやトークンなどの媒体を使った認証、指紋や音声などを使った生体認証があります。

二要素認証とは、この3つの認証のうち異なる二つのものを併せて使うことです。生体認証の導入は高価なため特定の機関でしかまだ利用されていませんが、ワンタイムパスワードの導入は比較的安価なため、IDと固定パスワードによる認証とワンタイムパスワードによる二要素認証が、普及しつつあります。

ワンタイムパスワードの仕組み

ワンタイムパスワードの仕組みは、製品や企業のホームページによってどの方式を導入しているのかは異なります。実際に利用してもその内部の詳しい仕組みがわかるわけではありません。そこで、2つの代表的なワンタイムパスワードの生成方式である「時刻同期方式 (タイムスタンプ方式)」「チャレンジ・レスポンス方式」についてや、その原理について紹介します。

時刻同期方式(タイムスタンプ方式)

この方法ではトークンというパスワードを作成するツールを利用して、ワンタイムパスワードを生成します。認証を行う際には自分の識別番号、すなわち「ID」と、トークンに表示されている「パスワード」を送信することで認証を受けることができます。この方式では、認証を受けるサーバー側があらかじめトークンの情報を把握しており、誰がどのトークンでどの時間にどの数値を表示するのかを共有しているからこそできる方法です。

しかし、時刻の同期によって認証されるためトークンとサーバー側の時刻にズレがある場合には正しく認証されないので、時刻の同期は必須となります。

チャレンジ・レスポンス方式

この方法では、利用側からサーバー側に認証のリクエストを送ることで、毎回ランダムで意味の持たない「チャレンジ (問題)」となる文字列を生成します。そして、そのチャレンジの文字列をもとにサーバー側と共有している情報を使って「レスポンス (答え)」の文字列を生成します。サーバーがチャレンジを毎回変えることでレスポンスも毎回変わるので、ワンタイムパスワードとして機能します。この二つが一致することによって認証される方式のことをチャレンジ・レスポンス方式といいます。

ワンタイムパスワードの受け取り方

ワンタイムパスワードの受け取り方は、下記の4つの方法が中心となります。

トークン

トークンは、小型の端末ないしカードにてパスワードを受け取ります。スマートフォンやパソコンを使わずにパスワードを取得できる点が特徴です。早い時期のネットバンキングは、トークンにて本人認証するよう促していました。

実際に、三井住友銀行ジャパンネット銀行にて使用されている受け取り方です。しかし、トークンの故障時や紛失時にサービスへログインできなくなることから、最近はアプリの利用を推奨されるケースが多いです。

アプリ

スマホにダウンロードできるアプリを利用してパスワードを入手する方法です。トークンのように専用の端末を持ち運ぶ必要がないので、スマホを利用している人であれば誰でも利用できます

三井住友銀行のOne Time Pass三菱UFJ銀行のアプリなど専用アプリにてアクセスする方法と、Google 認証システムIIJ SmartKeyのように第三者のアプリを利用する方法があります。

メール

メールアドレスにワンタイムパスワードを送ってもらう方法もあります。メーラーを起動して確認する手法です。アプリのような手軽さは薄れるため使用されるケースは多くないでしょう。

フリーメールアドレスを利用している人がメールの内容を外部の人に見られてしまい、被害を受けてしまったという例が過去にあります。そうした事例からも、メールを使って行う場合にはフリーアドレスではなくキャリアのメールを利用することをおすすめします。

音声

最後の方法は、事前に登録した電話番号へ音声で通知するものです。こちらは文字に残らないので流出しにくいというメリットがあるものの、忘れてしまうこともありうるので対策が必要かもしれません。

ワンタイムパスワードのメリット

ワンタイムパスワードを使うメリットは、大きく次の3つです。

不正アクセスを防ぐ

固定のパスワードは自分自身も覚えやすいように比較的短い数字と文字列を使用する方が多いですが、それだけに第三者に推測されやすくもなります。また、いったん悪意のある第三者にパスワードを入手されてしまうと、何かしらの被害を被ってしまう恐れがあります。

一度しか使えないワンタイムパスワードは意味をなさない文字列です。つまり推測がされにくく、セキュリティのレベルを高められます。このようにワンタイムパスワードでは、不正アクセスをある程度防げます。

パスワード管理の負担を減らす

多くのサービスでは定期的に、不正アクセス対策として定期的にパスワードの変更が要請されます。また、社員数の多い企業のシステム管理者にとって、社員ごとにパスワードを管理するのは手間でしょう。しかしワンタイムパスワードを利用すると、このような管理コストを抑えられます。

クラウドサービスへの対応

モバイルやスマートデバイスの普及からクラウドサービスの利用が大きく広がっており、社外からも会社の情報資産にアクセスする機会が増えています。その際に、アクセスしているユーザーが許可された利用者であるかの認証がぜい弱だと企業情報の漏洩につながる恐れがあります。ワンタイムパスワードは企業情報や個人情報の漏えい防止に有効です。

ワンタイムパスワードの仕組みを知り安心して利用しよう

これまでワンタイムパスワードについての仕組みを理解していなかった人は、本当に安全面で守られているのか疑問に感じていた人もいたのではないでしょうか。本記事を通して、実際には通常の固定のパスワードだけの利用よりもはるかに安全ということが理解いただけたと思います。どんなセキュリティでも100%安全ということはありませんが、ワンタイムパスワードは高度なセキュリティ技術の一つです。積極的に利用を進めてください。

BOXILとは

BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員(無料)になると次の特典が受け取れます。

  • BOXIL Magazineの会員限定記事が読み放題!
  • 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
  • 約800種類のビジネステンプレートが自由に使える!

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。

BOXIL SaaSへ掲載しませんか?

  • リード獲得に強い法人向けSaaS比較・検索サイトNo.1
  • リードの従量課金で、安定的に新規顧客との接点を提供
  • 累計800社以上の掲載実績があり、初めての比較サイト掲載でも安心

※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査

多要素認証選び方ガイド_20220223.pptx.pdf
ワンタイムパスワード(OTP)
選び方ガイド
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
累計掲載実績700社超
BOXIL会員数130,000人超
編集部のおすすめ記事
ワンタイムパスワード(OTP)の最近更新された記事