ワンタイムパスワード・トークンとは
暗証番号やパスワードの認証と一緒に利用される「ワンタイムパスワード」と「トークン」の概要を解説します。
ワンタイムパスワード:1回だけ使えるパスワード
ワンタイムパスワードとは、一定時間ごとに発行され1回だけ使えるパスワードです。パスワードを使える有効時間は短く、30秒程度で利用できなくなります。再利用が不可能なパスワードのため、もしフィッシングなどの被害に遭っても不正アクセスされる可能性は低くなります。
ワンタイムパスワードは通常のパスワードとの併用により、二要素認証とすることが可能です。二要素認証とは、認証する際に2つの要素を組み合わせて認証することでセキュリティの強化を図る手法です。二要素認証は通常のパスワードと比べるとより強固なセキュリティを確保できます。
ワンタイムパスワードを用いた二要素認証について詳しく知りたい方は、以下の記事もご覧ください。
関連記事
watch_later
2019.11.28
二要素認証とは|ワンタイムパスワードでセキュリティ強化!
続きを読む ≫
トークン:ワンタイムパスワードを表示するツール
トークンは、ワンタイムパスワードを生成するツールの総称です。ユーザーがオンライン上で取引する際、本人認証として使用することが可能です。
パスワードを生成するボタンを押すとワンタイムパスワードが発行されます。トークンの液晶画面にパスワードが表示されますが、一定時間経過すると消えてしまいます。そして新たなパスワードがトークン上に表示される仕組みです。
トークンのみでは銀行のログインIDや支店番号はわかりません。しかし、トークンが紛失したり盗難の被害に遭ったりすると、悪意ある第三者により不正ログインされる可能性があります。
トークンは、ハードウェアタイプとソフトウェアタイプに大別されます。
ハードウェアトークン
ハードウェアトークンは、ワンタイムパスワードを生成する専用機器です。種類は以下の3つです。
- ■キーホルダータイプ
- 持ち運びしやすいキーホルダータイプ。ボタン1つでワンタイムパスワードの発行や確認が可能です。
- ■カードタイプ
- お財布やカード入れなどに入れて持ち運び可能なカードタイプ。ボタンは1つのものとキーパッドタイプがあります。
- ■USBタイプ
- USBタイプのトークン。ICカードの代わりにUSBケーブルを接続すると認証できるタイプと、ワンタイムパスワード生成機能を持つタイプがあります。
ソフトウェアトークン
ソフトウェアトークンは専用機器が不要です。iOSやAndroidのアプリケーションとしてインストールし、ワンタイムパスワードを生成します。スマートフォンがあればどこでもワンタイムパスワードの生成が可能です。
ソフトウェアトークンを利用する場合は、スマートフォンのセキュリティ対策が重要です。スマートフォンが乗っ取られると、第三者がワンタイムパスワードを生成して認証する危険性があります。
ワンタイムパスワード発行の仕組み
ワンタイムパスワード発行方式は2通りあります。それぞれ解説していきます。
時刻同期方式
時刻同期方式は、サーバとトークンの時刻の同期によって認証します。
「ユーザーがどのトークンでいつ、どの数値を表示するか」という情報を、サーバとトークンの間で共有します。また、認証を受けるサーバはあらかじめトークンの情報を把握しています。
流れとしては、トークンでその時刻に有効なワンタイムパスワードを生成。サーバでは入力されたパスワードと時刻を照合し、有効なパスワードであれば認証するという仕組みです。時刻同期方式ではサーバとトークンの時刻の同期は必須です。
チャレンジ&レスポンス方式
チャレンジ&レスポンス方式では、まずユーザーからサーバへ認証のリクエストを送信します。それを受けたサーバは「チャレンジ」という意味をもたないランダムな文字列をユーザーへ送信します。
ユーザー側はその文字列を基に、サーバと共有している情報を利用し「レスポンス」の文字列を生成して送信します。サーバが送信したチャレンジとユーザーが送信したレスポンスが一致していれば認証完了です。
この方式ではチャレンジとなる文字列が毎回変わり、それによりレスポンスの文字列も変わるため、ワンタイムパスワードとして機能します。
トークンによるワンタイムパスワードの特徴
トークンで生成されたワンタイムパスワードの特徴を3つ解説していきます。
高いセキュリティ
ワンタイムパスワードは通常のパスワードとは異なり、1度のみ使用が可能なパスワードです。もし、ワンタイムパスワードを盗み見されたとしてもそのパスワードを使い回すことはできません。
また、ランダムな数字列のためパスワードの推測は困難で、高いセキュリティを確保できます。特にハードウェアタイプのトークンはパソコンなどに接続しないため、ウイルスやマルウェアに感染するリスクを下げることが可能です。
高い利便性
ネットバンキングや多くのサイトでは、IDやパスワードによる個人認証を行っています。利用しているサイトが多くなると管理するパスワードも増え、大変になるでしょう。また、多くの企業でクラウドサービスの利用が増えている中、従業員がいくつものパスワードを使い分けることも珍しくありません。
トークンでワンタイムパスワードを生成すれば、従業員はいくつものパスワードを管理する必要がなくなります。ワンタイムパスワードは、ユーザーの利便性を上げることも可能なのです。
安い価格
ワンタイムパスワードは、比較的コストを抑えた導入が可能です。ワンタイムパスワードのシステムを提供しているベンダーの中には、導入コストの安さをセールスポイントにしている場合もあります。
なお、ハードウェアトークン自体は、企業規模が大きくなるにつれ、従業員に支給する機器の数が増えるので導入コストも高くなってしまいます。一方、ソフトウェアトークンはハードウェアトークンと比べると、導入コストを抑えることが可能です。
以下の記事では、ソフトウェアトークンやハードウェアトークンに対応したワンタイムパスワード製品を紹介しています。ぜひご覧ください。
関連記事
watch_later
2020.10.28
クラウド・オンプレミス型ワンタイムパスワード製品比較9選!選び方も解説
続きを読む ≫
トークンによるワンタイムパスワードで安全性を向上
トークンで自動生成されるワンタイムパスワードは、1度のみ使用できるパスワードです。パスワードが盗まれたとしても使い回せないため、高いセキュリティを確保できます。また、ワンタイムパスワードを使えば、パスワードを覚える必要がなく利便性の向上にも役立ちます。
トークンによるワンタイムパスワードの導入で、情報セキュリティの安全性を向上させましょう。