ワンタイムパスワードとは
ワンタイムパスワードの概要を解説します。
一度きりだけ使える使い捨てのパスワードのこと
ワンタイムパスワードは一度きりの使い捨てパスワードです。
従来の固定パスワードは一度設定したものを継続的に使うため、第三者に見られたり忘れないよう管理する必要があります。
利用サービスが増えるたびに新たなパスワードを管理する必要が生じ、その負担の大きさは侮れません。負担を軽減しようと簡単なパスワードを設定すれば、今度は第三者から推測されやすくなります。
一方、ワンタイムパスワードは本人認証の都度発行され、一度使えばその後は利用できなくなります。覚える必要がなく、第三者に知られても不正アクセスされないパスワードとして注目されています。
簡単に使える認証強化の手段
ワンタイムパスワードは簡単に利用できる認証強化の手段です。
通常、セキュリティレベルを向上させるとユーザビリティが低下します。複雑なパスワードの設定や定期的なパスワード変更などは、ユーザーにとって負担が大きいでしょう。
ワンタイムパスワードであれば、そのような負担がありません。推測されづらい複雑なパスワードを利用できる一方で、それを暗記する必要がないからです。ワンタイムパスワードはユーザビリティとセキュリティを両立できる方法といえます。
パスワード流出時のリスクを低くできる認証
ワンタイムパスワードは従来の固定パスワードで認証を行った後、第二段階の認証手段として用いられます。そのため、固定パスワードが流出してもワンタイムパスワードが知られない限りは不正アクセスされません。
また、ワンタイムパスワードは使用期限があり、一度使えばその後は利用できません。発行方式や製品によって細かい点は異なりますが、一般的に短時間で無効化されます。
発行したワンタイムパスワードを利用しないまま第三者に知られても、悪用されるリスクは低いでしょう。
ワンタイムパスワードの目的やメリット
ワンタイムパスワード導入の目的やメリットを見ていきましょう。
不正アクセスを防げる
ワンタイムパスワードは不正アクセスを防止するうえで有効です。通常のパスワードには、不正アクセスされやすくなる以下の欠点があります。
- ■覚えやすいパスワードにすると推測されやすくなる
- ■管理を怠ると第三者に盗み見られる恐れがある
- ■不正アクセスされても気づきにくい
ワンタイムパスワードであれば、複雑なパスワードを使い捨てで利用できます。なので、覚える必要もなく、第三者にパスワードを盗み見られても不正アクセスされません。
また、固定パスワードでは不正アクセスされたことに気づかず、被害が増大するという特徴があります。一方、トークンでワンタイムパスワードを発行する場合は、トークン自体が盗まれればユーザー自身がそのことにすぐ気づけます。そのため、被害の拡大を阻止しやすいでしょう。
パスワード管理の負担を減らせる
利用するサービスが増えるたびに、新たにパスワードを管理するのは大きな負担となります。企業でシステムを使うと、パスワード管理も従業員負担になるでしょう。
たとえば従業員がパスワードを忘れた場合にはシステム担当者が対応する必要が生じ、ほかの業務に支障をきたす可能性もあります。ワンタイムパスワードはそういった管理の手間が不要です。
固定パスワードはデメリットが多い
従来の固定パスワード管理には以下のデメリットがあります。
- ■記憶する必要がある
- ■定期的な変更が推奨されている
- ■サービスごとに使い分ける必要がある
最近では定期的な変更より、複雑なパスワードを長期的に使うほうが安全性が高いと言われています。しかし、いずれにしてもこれらの特徴は固定パスワードのデメリットといえるでしょう。ワンタイムパスワードを導入することで、これらの負担から解放されます。
ワンタイムパスワードの仕組み
ワンタイムパスワードによる認証の仕組みを2つ解説します。
タイムスタンプ方式
後で説明するトークンと呼ばれるデバイスを利用し、時刻とユーザーごとに異なるワンタイムパスワードを発行します。
認証サーバ側は、誰のトークンにいつどのようなパスワードが表示されるかを把握しています。その内容と入力したパスワードが一致することで本人認証が成立するという仕組みです。
時刻によって表示されるワンタイムパスワードが異なるため、トークン側と認証サーバ側の時刻を同期しておく必要があります。そのため、タイムスタンプ式や時刻同期方式と呼ばれています。
チャレンジ・レスポンス方式
認証サーバ側から送られてきた文字列(チャレンジ)に対し、適切な答え(レスポンス)を返すことで認証を行う方法です。利用の流れは以下のとおりです。
- 1.ユーザーが認証サーバにチャレンジを要求
- 2.認証サーバからチャレンジが送られてくる
- 3.あらかじめ決められたルールに従い、チャレンジから答え(レスポンス)を算出する
- 4.レスポンスを認証サーバに送信し、それが正解であれば認証成立
送られてくるチャレンジは、ユーザーが要求するたびに新しいものになるため、使い捨てのワンタイムパスワードとして機能します。
ワンタイムパスワードの受信方法
ワンタイムパスワードの発行・受信方法を紹介します。
専用トークンによる受信
トークンと呼ばれるデバイスを利用してパスワードを発行する方法です。カードやUSBデバイスのような形をしたものがあり、ボタンを押すなどの操作をすることでパスワードが表示されます。
製品によって異なりますが、表示されたパスワードの使用期限は一般的に30~60秒程度です。時間が経過すると無効化するため、それまでに本人認証を済ませる必要があります。
認証に時間をかけられないというデメリットもありますが、無効化までの時間が短いほどセキュリティは強固になります。また、専用デバイスを所持しておく必要があるため、金融機関など厳重なセキュリティが必要な場面で利用されています。
スマホアプリによる受信
専用トークンデバイスの機能を、スマホとアプリで代用した方法です。専用のスマホアプリをダウンロードし、ユーザー登録をすることで、本人認証時にワンタイムパスワードが発行されるようになります。
認証用に専用のデバイスを持ち運ぶ必要がないため、気軽に利用できる方法です。ただし、スマホ所有者でなければ使えない、ウイルスなどで情報が流出する恐れがあるといった弱点もあります。
メールによる受信
メールでワンタイムパスワードを受信する方法もあります。専用デバイスもスマホも必要なく、従来の携帯電話やパソコンのメール機能で利用できます。幅広い人に使いやすい方法といえるでしょう。
ただし、インターネットを介してワンタイムパスワードを受け取る以上、第三者に知られる危険性はあります。フリーメールアドレスではなくキャリアのメールアドレスを利用するなど、信頼できる受信先を指定しましょう。
ワンタイムパスワードを使う注意点
ワンタイムパスワードを利用する際、どのようなことに注意すればよいのでしょうか。
スマホが紛失・盗難されたときにリスクがある
スマホアプリやメールでワンタイムパスワードを受信する場合、スマホ紛失・盗難時にワンタイムパスワードが悪用される恐れがあります。トークンを利用している場合も、専用デバイスを紛失することで同じリスクにさらされるでしょう。そのため、以下の対策をとりましょう。
- ■紛失時には速やかに利用停止する
- ■スマホのロックは厳重にしておく
デバイスが手元にないことに気づいたら、早めに利用停止の手続きをしましょう。また、スマホのロックは日ごろから厳重なものに設定し、セキュリティを高めておくことが大切です。
もちろん、初めから紛失しない・盗難されないことが一番重要です。大切な情報を持ち運んでいるという意識を持ちましょう。
ウィルス感染しているとワンタイムパスワードも漏れる
本人認証を行うパソコンやスマホがウイルスに感染している場合、ワンタイムパスワードが流出する可能性があります。たとえば、以下のような被害が考えられます。
中間者攻撃とは、ユーザーとシステムの中間に第三者が介入し、不正を働くことです。
たとえば、メールやスマホアプリでワンタイムパスワードを受信する場合、そのメールやアプリの情報を盗み見て不正アクセスする攻撃が該当します。2013年9月には実際にこの手口を利用した犯行が行われ、被害者が続出しました。
トークンでワンタイムパスワードを受信する場合は、この事態を防止できます。しかし、その場合でもMITBという脅威にさらされています。
MITBは、ワンタイムパスワードを受け取る際の通信ではなく、本人認証の際に入力した情報の送信を盗み見る手口です。セキュリティソフトの導入などの対策をし、デバイスを守ることが大切です。
ワンタイムパスワードを活用して認証を強化しよう
ワンタイムパスワードについて解説しました。
一度きりのパスワードなので管理の負担が軽減するほか、簡単に高度なセキュリティを実現できる方法として注目されています。パスワード受信方式や認証の仕組みにも種類があり、導入の際には環境に適したものを選ぶことが大切です。
ぜひ、自社へのワンタイムパスワード導入を検討してください。