ワンタイムパスワードとは
ワンタイムパスワードとは、名前のとおり「一度きりのパスワード」のことです。2段階認証などを実施しているWebサービスでは、本人確認のために、そのときだけ使えるパスワードを発行しています。たとえこのワンタイムパスワードが漏れてしまっても、一度使ったら無効になるため安全です。
近年では、なりすましや乗っ取りなどが増えているため、Webサービスなどの多くで、ログイン認証としてワンタイムパスワードが使われています。比較的重要な情報を扱うときに、活用されることが多いでしょう。
また、すでにアカウント登録しているサービスに、登録時とは別端末でログインするときにも使われます。端末が異なると、不正アクセスの疑いがあるからです。
2段階認証とは
2段階認証とは、従来のパスワードを入力した後に、別のセキュリティコードを入力して認証する方法です。最初の認証に加えて2度目の認証を行うため、より強固なセキュリティを実現可能です。
ちなみに、2段階認証と似ている認証に「2要素認証」があります。2段階認証は、パスワードの入力など同じ種類の行為を2回行う場合も該当します。
対して「2要素認証」とは、「知識要素」「所有要素」「生体要素」の3種類のなかから、2つの要素を使って2度認証を行う方法です。例えば、知識要素のパスワードの入力と、静脈を使った生体認証の組み合わせなどです。
以下の記事では、二要素認証について詳しく解説しています。興味のある方はぜひご覧ください。
2段階認証におけるワンタイムパスワード発行方法
安全性を確保できるワンタイムパスワードですが、使用するためには、どのような方法でパスワードを発行するのでしょうか。発行方法は、大きく分けて3種類あります。詳しく見ていきましょう。
トークンで発行
トークンとは、ワンタイムパスワードを作成・表示する専用ツールのことです。以下の2種類があります。
- ■ソフトウェアトークン
- スマートフォンやパソコンにインストールした専用のアプリ。iOSやAndroidのアプリケーションとして、無料でダウンロードできます。
- ■ハードウェアトークン
- カードやキーホルダータイプなどの物理的な機器。いずれも持ち運びしやすい小型のタイプです。
SMSで発行
ワンタイムパスワードを使用する機会が最も多いのは、SMSによる認証です。
例えば、スマートフォンを買い替えた際など、新しい端末でログインしようとするときにSMS通知が届きます。SMSは電話番号をもとにメッセージを送っているため、電話番号を登録しているサービスの本人認証としての利用が多いでしょう。
電話で発行
電話がワンタイムパスワードの通知に使われることもあります。通知方法はいくつかありますが、一般的には自動音声による電話の着信があり、ワンタイムパスワードが読み上げられます。
スマートフォンの画面にワンタイムパスワードが表示されるSMSでは、他人にパスワードを盗み見られる可能性がありますが、電話にはそのリスクがありません。
以下の記事では、トークン・SMS・電話を使ったワンタイムパスワードを紹介しています。実際の製品について詳しく知りたい方は参考にしてください。
ワンタイムパスワードの注意点
ワンタイムパスワードは強固な認証を実現できるものの、万能ではなくリスクも存在します。ワンタイムパスワードに関するリスクと、それを避けるための注意点を解説します。
ウイルス感染があった場合、情報を盗まれる可能性がある
例えば、メールやSMSでワンタイムパスワードが通知される場合、利用している端末がウイルスに感染すると情報を盗まれる危険があります。そのため、普段からスマートフォンやパソコンなどのセキュリティ対策を万全に行わなければなりません。
スマホやトークンの盗難があった場合、不正利用される可能性がある
スマートフォンやカード型トークンなどの、物理的なツールでワンタイムパスワードを取得しているときは要注意です。デバイスを紛失してしまったり盗まれたりすると、不正利用される可能性が発生します。
このようなデバイスは、本人認証の「鍵」であるため、管理を徹底することが重要です。
ワンタイムパスワードを正しく用いてセキュリティ強化!
2段階認証とワンタイムパスワードの概要や、注意点などについて紹介しました。これらの認証方法を活用することで、本人確認の精度が上がり、セキュリティの安全性を高められます。近年増加している不正アクセスに対抗するためにも、ワンタイムパスワードなどの認証について理解し、社内のセキュリティを強化しましょう。
