初めてのワンタイムパスワード～使い捨てパスワード

ログイン認証強化に使える”使い捨て”パスワード

すでにインターネットで買い物をしたり、銀行の振込みを行ったりしている方も多いかと思いますが、このようなオンライン決済の際には、銀行アカウントへのログインが必須です。

ログインの方式としては、IDとパスワードの組み合わせでの認証が基本的ですが、IDとパスワードの認証だけでは、情報漏洩のリスクが発生します。そこで、この認証の際に一度しか有効に機能しないパスワードを、ユーザーがログインしようとするたびに発行するシステムが誕生しました。このシステムが、いわゆる「ワンタイムパスワード」と呼ばれる仕組みです。

実は身近なワンタイムパスワード ～ネットバンクで利用

具体的な実用例を見ておきましょう。ワンタイムパスワードは現在、身近なところではネットバンキングで利用されています。実際に利用されている方も多いのではないでしょうか。

ネットバンキングへのログインでは通常、契約番号などのIDと、設定したパスワードでログインします。ログイン後、送金や振込みなどの処理をする際にもう一度、ワンタイムパスワードで指定の処理を実行してよいか、再認証する仕組みを提供しています。

銀行によってパスワードの発行方式は異なりますが、一例としてネットバンキング用の契約カードの裏に記載されている乱数表方式があります。具体的には、システムが「縦の何行目、横の何列目」と指定します。利用者はカードに記載された乱数表で指定の枠に表示されている数値や文字を入力して認証する仕組みです。

この仕組みによって、どのように安全性が確保されているのでしょうか。利用者の手元にある乱数表は利用者一人ひとり、すべて異なります。つまり同じ「縦の何行目、横の何列目」が指定されてもパスワードはすべて違うものになります。仮に不正なログインをされても、乱数表が手元にない限り、送金などの処理ができないことになります。

ワンタイムパスワード発行に“トークン方式”を使う

ワンタイムパスワードを発行する仕組みにトークン（ワンタイムパスワード生成器）を利用する方式があります。ワンタイムパスワードにおけるトークンとは、USBメモリくらいのサイズで、ユーザーがログインする際に、その都度、新しいパスワードを発行する電子機器です。本体にパスワードとなる数字を表示する画面がついており、ここに表示されるパスワードを用いてログインします。

このパスワードはトークンに組み込まれたシステムが、一定時間おきに新たに生成しており、その時間が過ぎれば、生成したパスワードも使えなくなる仕組みです。製品によっては、1分毎にパスワードを生成するように設定されており、頻繁にパスワードが変更されることでさらに強固なセキュリティを実現しています。

広く普及したスマートフォンを利用してワンタイムパスワードを発行するアプリも登場しています。基本的にはハードウェアのトークンと同じでソフトウェアトークンとも呼ばれます。いつも携帯しているスマートフォンさえあれば、トークンを持ち歩く必要がなく、利用者にとっても利便性の高いシステムといえます。

このようにワンタイムパスワードは、ログインなどの認証セキュリティを強化する一つの機能として、利用できるシステムなのです。