ワンタイムパスワードとは、ネットバンクやオンラインゲームで広く普及しているパスワードに関連するセキュリティを強化する仕組み。ネットバンキングでの振込や送金などを行う時にワンタイムパスワードの使用が必須というところも増えてきました。

これってどういう仕組みで動作しているのかご存じですか? 今回はワンタイムパスワードの種類と動作の仕組みについて解説します。

ワンタイムパスワードとは

ワンタイムパスワードとは、その名前の通り一度だけしか使えない使い捨てのパスワードの事です。これまでIDとパスワードを必要とするホームページやサービスでは、あらかじめ設定してあるIDと固定のパスワードを使用してログインするというのが一般的でした。しかし、この方法ではIDとパスワードが流出してしまった場合、悪意のある者に不正にログインされてしまう可能性があります。

一方、ワンタイムパスワードを使用する方法は認証のたびに違うパスワードを使用し、使用されたパスワードは2度と使われません。たとえパスワードが盗聴されたり漏洩したりしても、そのパスワードでは2度はログインすることができないため、セキュリティ的に高い安全性が保たれます。

ワンタイムパスワードの種類(トークン、スマホアプリ、メール、音声)

それではワンタイムパスワードはどのように生成すればよいのでしょうか。現在、ワンタイムパスワードの生成方法は主に4つの方法があります。

トークン

トークンとはワンタイムパスワードを生成するための小型の端末のことです。トークンを使うと6桁の数字(パスワード)を生成でき、このパスワードはある一定時間だけ有効で、だいたい30秒から1分ごとに再生成されます。そのため一度生成したパスワードはなるべく早く入力する必要があります。

トークンとはどのようなものか、手持ちの「ゆうちょ銀行」のトークンと「ジャパンネット銀行」のトークンの画像を用意しました。

トークンにはパスワードを生成するためのボタンが付いており、必要な時にパスワードを生成することで使用できます。生成されたパスワードは一定時間が経つと無効になり、再度別の6桁の数字列が表示されます。

トークンはパスワードを生成するための大切な端末です。もしトークンを紛失したり盗難にあったりしてしまうと、悪意のある者によって不正にログインされてしまうリスクもあります。

トークンのみではIDや銀行の口座番号や支店番号はわかりませんが、トークンを紛失してしまったらほっておくことはできません。速やかに紛失したことを銀行などに連絡して、紛失したトークンの無効化と、新しいトークンの再発行の手続きを行う必要があります。

スマホアプリ

スマートフォンにアプリとしてインストールするタイプのものあります。スマートフォンがあればトークンを管理する必要がなくなり誰でも利用することができます。主要なネットバンキングでは専用のアプリを提供していることもあります。

スマホアプリとして利用する時は、アプリのインストール後にワンタイムパスワード利用登録を行う必要があり、電話などでアプリ設定用のパスワードが通知されることがあります。

メール

自分が普段使用しているメールにパスワードを送信させるタイプもあります。ワンタイムパスワードを使用したいサービスにあらかじめメールアドレスを登録しておき、パスワードが必要な時に登録してあるメールアドレスにパスワードが送信される仕組みです。

アプリのような手軽さはありませんが、メールという誰でも使える方法でワンタイムパスワードが利用できるのがメリットの一つです。GmailやYahooなどのフリーメールでは万が一、第三者にメールの内容を盗み見られる可能性があるので、プロバイダやキャリアのメールアドレスを利用することがおすすめです。

音声(電話)

電話を利用する事で音声によるワンタイムパスワードを受信できるものもあります。認証が必要になると予め登録しておいた電話番号に電話がかかってくることを示すメッセージが表示され、それにユーザーが同意すると電話がかかってきて、音声でパスワードが伝えられます。

登録した電話番号で受信できる電話が利用者だけが使えるので、パスワードの流出の可能性は低く、音声による通知なので記録にも残りません。しかし頭の中で記憶することが難しい場合はメモを取るなどして残しておくことも必要です。

ワンタイムパスワードの仕組み

ワンタイムパスワードには大きく分けて2つの仕組みがあります。「チャレンジレスポンス方式」と「時刻同期方式(タイムスタンプ方式)」の2つです。

チャレンジレスポンス方式

チャレンジレスポンス方式では、まずユーザーから認証サーバーに対してアクセス要求を送信すると、認証サーバーはランダムな文字列(チャンレンジ)を生成してユーザーに送り返します。ユーザーはそのチャレンジの文字列を使って、あらかじめ決められている計算式でパスワードを計算し、レスポンスとして認証サーバーに送信します。ユーザーが計算したレスポンス(パスワード)と、認証サーバーが計算したパスワードが一致していれば、認証成功とします。

時刻同期方式(タイムスタンプ方式)

時刻同期方式はトークンを利用するタイプの認証方式です。トークンで表示されるパスワードは生成した時刻によって異なります。そのため認証サーバーとトークンとの間に時刻のズレがある場合は正しく認証されません。このため時刻を同期させることが必須となります。

認証サーバーでは利用者ごとにどのトークンを使っているか、どの時刻にどのような数字が表示されるか、などの情報を保持しています。このような仕組みであるため、認証サーバーは正当なトークンの利用者であることを識別でき、同じトークンを別のユーザーが使用しても認証できないような仕組みになっています。

ワンタイムパスワードのメリット

ワンタイムパスワードを使う事で以下のようなメリットがあります。

パスワード管理の負担を減らせる

銀行やWebサービスのサイトではユーザーを識別するためにIDとパスワードによる管理を行っているところがほとんどです。使用しているサイトが増えるにつれて、管理するべきIDとパスワードの絶対数は増えていきます。

また法人などでは社員のIDとパスワードを一元的に管理しているところもありますが、社員の数が増えるとパスワード管理の手間も増えていきます。ワンタイムパスワードを導入することで、このような固定のパスワード管理の手間を減らすことができます。

セキュリティの向上につながる

ユーザーの中には複数のサイトで同一のIDとパスワードを使いまわしているかたもいらっしゃるかもしれません。しかし同一のIDとパスワードを使いまわすと、リスト型攻撃の標的となった際に、登録しているサイトに不正アクセスされてしまう危険性があります。

ワンタイムパスワードは一度きりの使い捨てのパスワードです。そのためたとえパスワードが盗聴されても、そのパスワードを使いまわすことはできず、さらに生成されたパスワードはランダムな数字列であるため、推測も困難です。このようにワンタイムパスワードを導入することでセキュリティの向上につながります。

まとめ

ワンタイムパスワードについて解説してきました。ネットバンクやオンラインゲームではかなり以前から導入されていた技術ですが、詳しい仕組みについて知らなかった方もいらっしゃったと思います。これまで使われてきた固定のパスワードを使用する方式と比べても、ワンタイムパスワードはセキュリティが高いことがおわかりいただけたと思います。

ワンタイムパスワードは手間がかかる・めんどくさいという印象をお持ちの方もこれを機会に導入してみてはいかがでしょうか。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?