ワンタイムパスワード・トークンとは｜初心者にもわかりやすく解説！

ワンタイムパスワード・トークンとは

暗証番号やパスワードの認証と一緒に利用されるワンタイムパスワード・トークンの種類を解説していきます。

ワンタイムパスワード：1回だけ使えるパスワード

ワンタイムパスワードは、一定時間ごとに発行され１回だけ使えるパスワードです。また、パスワードを使える有効時間も短く、30秒程度で利用できなくなります。

再利用が不可能なパスワードのため、もしフィッシングなどの被害に遭っても不正アクセスはできません。ワンタイムパスワードは固定のパスワードとの併用により二要素認証（※）の導入が可能です。二要素認証では固定のパスワードと比べるとより強固なセキュリティを確保できます。

※二要素認証：認証する際、２つの要素を組み合わせて認証することでセキュリティの強化を図る手法。

トークン：ワンタイムパスワードを表示するツール

トークンは、ワンタイムパスワードを生成するツールの総称です。ユーザーが取引する際本人認証として使用することが可能です。

パスワードを生成するボタンを押すとワンタイムパスワードが発行されます。トークンでは液晶画面にパスワードが表示され、一定時間経過すると消えてしまいます。そして新たなパスワードがトークン上に表示される仕組みです。

トークンのみでは銀行のログインIDや支店番号はわかりません。しかし、トークンが紛失・盗難の被害に遭うと悪意ある第三者により不正ログインされる可能性があります。

ハードウェアトークン

ハードウェアトークンは、ワンタイムパスワードを生成する専用機器です。種類は以下の３つです。

■キーホルダータイプ

持ち運びしやすいキーホルダータイプ。ボタン１つでワンタイムパスワードの発行・確認が可能です。

■カードタイプ

お財布やカード入れなどに入れて持ち運び可能なカードタイプ。ボタンは１つのものとキーパッドタイプがあります。

■キUSBタイプ

USBタイプのトークン。ICカードの代わりにUSBケーブルを接続すると認証できるタイプと、ワンタイムパスワード生成機能を持つタイプがあります。

ソフトウェアトークン

ソフトウェアトークンは専用機器が不要です。iOSやAndroidのアプリケーションとしてインストールし、ワンタイムパスワードを生成します。ハードウェアトークンを携帯せず、スマートフォンがあればどこでもワンタイムパスワードの生成が可能です。

ソフトウェアトークンを利用する場合、スマートフォンの乗っ取りやワンタイムパスワードの生成方法、認証方法などの情報漏えいのリスクがあります。そのため、第三者に情報漏えいしない環境の構築が大切です。

トークンによるワンタイムパスワードの特徴

トークンの生成によるワンタイムパスワードの３つの特徴を、それぞれ解説していきます。

高いセキュリティ

ワンタイムパスワードは固定パスワードとは異なり、１度のみの使用が可能なパスワードです。もし、ワンタイムパスワードを盗聴されたとしてもそのパスワードを使い回すことはできません。

また、ランダムな数字列のためパスワードの推測は困難で、高いセキュリティを確保できます。そして、トークンはパソコンなどに接続しないためウイルス・マルウェア（※）に感染するリスクを下げることが可能です。

※ウイルス・マルウェア：不正・有害に動作させる目的で作られた悪意あるソフトウェア・コードの総称。

高い利便性

ネットバンキングや多くのサイトではIDやパスワードによる個人認証を行っています。

利用しているサイトが多くなると管理すべきパスワードも増え、管理が大変になってきます。また、多くの企業でクラウドサービスの利用が増えている中、従業員がいくつものパスワードを使い分けることも珍しくありません。

トークンによるワンタイムパスワードを導入すると、従業員はいくつものパスワードを管理する必要がなくなります。このように、ワンタイムパスワードでシステム利用者の利便性を上げることも可能です。

安い価格

自社にワンタイムパスワードを導入する際、比較的コストを抑えた導入が可能です。ワンタイムパスワードのシステムを提供しているベンダーの中には、導入・運用コストの安さをセールスポイントにしている企業が多く見られます。

ハードウェアトークン自体のコストも安いのですが、企業規模が大きくなるにつれ、導入コストも高くなってしまいます。一方、ソフトウェアトークンでの導入はハードウェアトークンと比べると導入コストを抑えることが可能です。

ワンタイムパスワード発行の仕組み

ワンタイムパスワード発行方式には２通りあります。それぞれ解説していきます。

時刻同期方式

時刻同期方式は、サーバとトークンの時刻の同期によって認証します。

サーバが「ユーザーがどのトークンでいつ、どの数値を表示するか」という情報をトークンと共有します。また、認証を受けるサーバはあらかじめトークンの情報を把握しています。

流れとしては、トークンでその時刻に有効なワンタイムパスワードを生成。サーバでは入力されたパスワードと現在有効な時刻を照合し、時刻に合ったパスワードが正しければ認証するという仕組みです。時刻同期方式ではサーバとトークンの時刻の同期は必須です。

チャレンジ＆レスポンス方式

チャレンジ＆レスポンス方式では、まず、ユーザーからサーバへ認証のリクエストを送信します。それを受けたサーバは「チャレンジ」となる意味をもたないランダムな文字列をユーザーへ送信します。

その文字列を基にサーバと共有している情報を利用し「レスポンス」の文字列を生成して送信します。サーバが送信したチャレンジとユーザーが送信したレスポンスが一致していれば認証完了です。

この方式ではチャレンジとなる文字列が毎回変わり、それによりレスポンスの文字列も変わるため、ワンタイムパスワードとして機能します。

トークンによるワンタイムパスワードで安全性を向上

トークンで自動生成されるワンタイムパスワードは１度のみ使用できるパスワードです。パスワードが盗まれたとしても使い回せないため、高いセキュリティを確保できます。また、ワンタイムパスワードの活用により、パスワード紛失や盗難というリスクの回避も可能です。

トークンによるワンタイムパスワードの導入で情報セキュリティの安全性を向上させましょう。