ワンタイムパスワードのデメリットと対策！サービスの選び方も紹介

ワンタイムパスワードにデメリットはあるのか

ワンタイムパスワードはセキュリティの強化を図れるとされていますが、デメリットはないのでしょうか。２つの側面から解説していきます。

ユーザー側の利便性が低い

ワンタイムパスワードは、一定時間・一度きりしか使えないパスワードです。

そのため、固定パスワードと比べると、パスワードを推測されにくく、情報漏えいのリスクが少なくなります。しかし、毎回異なる文字列を入力しなければならないため、ユーザにとっては不便といえるでしょう。

ワンタイムパスワードだけで安全とは限らない

固定パスワードと比べて高いセキュリティを確保できるといわれるワンタイムパスワードですが、ワンタイムパスワードだけでは情報資産を守ることは難しいでしょう。

ワンタイムパスワードがメールやSMSで送られてくることはよくあると思います。もし、パソコンやスマートフォンがウイルスに感染していた場合、メールなどの情報が盗まれてしまう可能性もあるのです。

また、「MITB」と呼ばれるブラウザを利用した通信の最中に攻撃する手口も出現しています。そして、悪意ある第三者のアクセスにより、不正な送金が行われてしまうことになりかねません。

セキュリティ強化のための対策はあるのか

ワンタイムパスワードの脅威に対する効果的な３つの対策法を解説していきます。

企業側の対策：トランザクション署名

さまざまなサイバー攻撃に対して、企業側の対策として「トランザクション署名」があります。これは、スマートフォンアプリやトークン（※）により取引内容をデジタル署名する方法です。

例えば、振込先の口座番号を入力するとその数値を基にした８桁のデジタル署名が表示されます。もし、ブラウザ内で振込先が不正に書き換えられたとしても振込画面で表示されたデジタル署名を内部で照合することで異変を察知し、不正送金を防ぐことができます。

※スマートフォンアプリ・トークン：ワンタイムパスワードを生成する機器やアプリのこと。

企業側の対策：スマート認証

企業のセキュリティ対策の取り組みとしてスマート認証も挙げられます。あるネットバンクの導入事例をご紹介しましょう。

パソコンのネットバンキングで振込をする際、あらかじめ登録したスマートフォンに振込先や金額、６桁の取引番号が通知されます。アプリ上で振込内容や６桁の数字が一致しており、内容に問題がなければ「承認」ボタンをタップします。

スマート認証により、不正に振込先が書き換えられてもユーザ側で異変に気付くことができるでしょう。しかし、スマート認証ではユーザ側に振込内容や６桁の数字が一致しているかどうかの確認が求められます。

確認を怠れば認証のセキュリティにも問題が生じてしまいます。

ユーザー側の対策：ウイルス対策

ワンタイムパスワードを安全に利用するためにもユーザ側でウイルス対策を行うことが重要です。ワンタイムパスワードで不正アクセスなどの被害に遭ったユーザはウイルスに感染していたと言われています。

サイバー攻撃から情報資産を守るためにもOSやアプリケーションは常に最新にしておきましょう。そして、セキュリティ対策ソフトをインストールすることで基本的なセキュリティを確保でき、より安全にワンタイムパスワードを活用可能です。

ワンタイムパスワードサービスの選び方とは

ワンタイムパスワードサービスを導入する際に気をつけるべきポイントを２つご紹介します。

ユーザーの利便性・セキュリティ強化のバランスで考える

ワンタイムパスワードの生成方法は主に以下の３つのものが挙げられます。

ハードウェアトークン

物理的な電子機器を用いたもの。USB型、キーホルダー型、カード型など。

ソフトウェアトークン

パソコンやスマートフォンにアプリをインストールし、デバイスにワンタイムパスワードを表示させる。

メールパスワードシステム

システムが生成したワンタイムパスワードをメールでユーザに通知するもの。

サービスを導入する際、ユーザの使い勝手やセキュリティ面のバランスを図ることが大切です。ワンタイムパスワードを生成する製品やサービスによって、パスワード発行や入力、確認までにかかる時間はさまざまです。また、発行方法によってもセキュリティの強度が若干かわってきます。

製品やサービスの特徴を理解した上で、自社のユーザにとって最適なワンタイムパスワードサービスを導入しましょう。

コスト面で考える

ユーザの利便性が高く、自社が求めるセキュリティの要件を満たしながらも予算内で導入できる製品やサービスの選定をおすすめします。

ハードウェアトークンを導入する場合、ユーザの利用規模によって初期費用が大きく異なってきます。一方でソフトウェアトークンやメールパスワードシステムの場合、導入費用を抑えることが可能です。

どのソリューションが自社の要件を満たしているのか、慎重な検討を行うようにしましょう。

ワンタイムパスワードのデメリットに備えよう！

ワンタイムパスワードは固定パスワードのみの認証方式よりセキュリティが高いとされていました。しかし、ユーザの利便性が低く、サイバー攻撃により安全性が脅かされています。

情報資産を守るためにもワンタイムパスワードのデメリットを理解した上で、セキュリティ対策を講じることが大切です。