現在の主流の認証方法は「ID」と「パスワード」の組み合わせですが、最近はこれにプラスして、「ワンタイムパスワード」を利用した認証が増えています。
銀行口座を作ったり、サービスに新たに登録する際など、目にする機会がどんどん増えている、ワンタイムパスワードですが、その仕組みを理解している方はあまり多くないのではないでしょうか。
そこで、今回はそのワンタイムパスワードの仕組みや、実際に使われている場面について解説します。
また、そもそもパスワード管理ってどうしたらいいの? というところは「意外と知らない適切な管理方法!パスワードの管理方法と注意点とは」で詳しく解説しています。あわせてお読みください。
ワンタイムパスワードとは
ワンタイムパスワードは、直訳すると「一度きりのパスワード」という意味で、従来のIDとパスワードの組み合わせではなく、「数分」「数時間」「1日ごと」など、一定時間ごとに発行されます。
そんな「一度きりしか使えないパスワード」および、それを採用した認証の仕組みのことです。
ワンタイムパスワードの仕組み
ワンタイムパスワードは、主に
- チャレンジレスポンス認証方式
- 時刻同期方式(タイムスタンプ認証方式)
の2種類の方式が採用されています。
それぞれ、1つずつ解説します。
チャレンジレスポンス認証方式
チャレンジレスポンス認証方式は、実際のパスワードを使用しない認証方式です。
ログインを要求すると、サーバーから「チャレンジ」と呼ばれる文字列を返します。
その文字列に対し、あらかじめ設定された求められた結果を返し、サーバー側でも計算をした結果と一致すれば認証クリアとなる方式です。
例:「パスワード:1234」「キーワード:abcd」→「やり取りするパスワード:1234abcd」
時刻同期方式(タイムスタンプ認証方式)
時刻同期方式は、時刻をもとにワンタイムパスワードを生成する方式です。
パスワードを生成するボタンを押した時間によってそれぞれ違う、ワンタイムパスワードが発行されます。
サイトによっては1分以内に認証しないと無効になるなど、制限時間が設けられているケースもあります。
なぜワンタイムパスワードがセキュリティ的に有効なのか
なぜ、ここまでワンタイムパスワードが普及したのでしょうか。
それは、セキュリティにおいて有効な手法だからです。
例えば、複数のサイトで同じパスワードを使うと、不正ログインのリスクがあります。
ですが、ワンタイムパスワードは規則性のある決まった物ではなく、その場でしか使えないパスワードのため、盗聴されたとしても推測が非常に困難です。
このように、リスト型攻撃などのサイバー攻撃に強いのが、どんどん普及している理由といえるでしょう。
ワンタイムパスワードが使われる場面
では、実際にワンタイムパスワードはどんなところに使われているのか解説します。
金融機関
ワンタイムパスワードの最も普及が進んでいるのは金融機関です。
金融機関の不正アクセスは金銭的被害に直接繋がってしまうため、銀行やネット銀行で口座を開設する際にはよく利用されます。
仮想通貨
金融機関のみならず、ネット上での決済などに利用できる仮想通貨(暗号資産)にも普及が進んでいます。
まだまだ歴史の浅い仮想通貨ですが、不正に他人の口座から自分の口座に送金するなどの被害が起きており、ワンタイムパスワードの利用が急速に広がっています。
リモートワーク
コロナ禍により在宅勤務が増加した結果、リモートワークで自宅から社内システムへアクセスする状況が増えました。
この認証の際にも、情報漏洩を防ぐ目的でワンタイムパスワードを導入するケースが増えています。
SNS
LINEなどのSNSでも、あらかじめ登録してあるメールアドレスや電話番号にSMSで認証コードを送り、利用するサイトやサービス上で入力することで認証する方式です。
Webメール
WebメールはGmailやyahoo!メールなどのウェブ上で利用できるメールサービスです。
Webメールにログインする際も、乗っ取りなどの被害が出ないように、ワンタイムパスワードが利用されています。
ワンタイムパスワードの使い方
実際にワンタイムパスワードは、主に
- トークン
- スマートフォンアプリ
- メール、SMS
- 電話
の4種類の方法で使われています。
トークンを使う
トークンは、ワンタイムパスワードを生成するツールです。
ハードウェア(物理の機械)、ソフトウェア(アプリなど)の種類があります。
「パスワード生成」のボタンを押すと、ワンタイムパスワードが発行され、パスワードが表示されます。
スマートフォンアプリを使う
各金融機関が配布しているスマートフォンアプリを使うことで、ワンタイムパスワードが発行されます。
各サイトのネットバンキングの管理画面にログインするときに「ワンタイムパスワード入力へ」という機能がある場合があります。
画面でワンタイムパスワードの入力を求められるので、スマートフォンアプリでワンタイムパスワードを生成し、入力するという流れです。
メール、SMSを使う
各サービスにログインをする際、あらかじめ登録してあるメールアドレスや電話番号にメールやSMSを送信し、そこに記載されている認証コードを入力することによって認証をする方式です。
電話を使う
登録している電話番号に電話をかけ、自動音声で認証コードを通知するシステムです。
画面に、その音声で伝えられた数字を入力することで、認証できます。
ワンタイムパスワードQ&A
ワンタイムパスワードのについて、よくある質問をQ&A方式で紹介します。
ワンタイムパスワードを忘れてしまった
忘れてしまった場合は、新たにワンタイムパスワードを発行しましょう。
ワンタイムパスワードは、有効時間が短いためすぐに文字列が切り替わるからです。
忘れてしまったことによる被害は特にないと思って差し支えないでしょう。
トークンの電池切れにはどう対応するか
トークンの再発行を行いましょう。
物理型のトークンは、自分で電池を交換することができません。
つまり、1度電池が切れたらそのトークンは利用できなくなります。
各サービスに事情を説明して再発行する際、再発行手数料がかかるケースもあるので、各サービスに問い合わせましょう。
トークンを紛失してしまった
トークンを紛失してしまった場合は、速やかに各サービスで紛失の届け出を出しましょう。
スマートフォンアプリで代用できる場合は、これを機に以降も視野に入れましょう。
ちなみに、トークンが誰かの手に渡ったとしても、IDとパスワードが判明しないと不正アクセスはできないため即座に被害が出るということはありません。
スマートフォンを機種変更するには
旧スマートフォンの登録を解除し、新スマートフォンにアプリを入れて利用登録をしてください。
ワンタイムパスワードを発行しているスマートフォンを機種変更する場合、「旧スマートフォンの登録を解除」を忘れずに行い、新スマートフォンにアプリをインストールして利用登録をしましょう。
また、それぞれの金融機関によって対応が異なる可能性があるため、詳細は各サービスに問い合わせてください。
まとめ
ワンタイムパスワードについて解説しました。
これまで使われてきたIDとパスワードだけの方法よりも、ワンタイムパスワードはセキュリティをより一層強固なものにします。
リモートワークなどが普及している現代だからこそ、自社で導入を検討されている方は、ぜひこの機会に導入を検討してみてください。
