サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

ワンタイムパスワードとは?その仕組み認証方法や利用のメリットなど



ワンタイムパスワードとは、ネットバンクやオンラインゲームで広く普及しているパスワードに関連するセキュリティを強化する仕組み。ネットバンキングでの振込や送金などを行う時にワンタイムパスワードの使用が必須というところも増えてきました。

これってどういう仕組みで動作しているのかご存じですか? 今回はワンタイムパスワードの種類と動作の仕組みについて解説します。

ワンタイムパスワードとは

ワンタイムパスワードとは、その名前の通り一度だけしか使えない使い捨てのパスワードの事です。これまでIDとパスワードを必要とするホームページやサービスでは、あらかじめ設定してあるIDと固定のパスワードを使用してログインするというのが一般的でした。しかし、この方法ではIDとパスワードが流出してしまった場合、悪意のある者に不正にログインされてしまう可能性があります。

一方、ワンタイムパスワードを使用する方法は認証のたびに違うパスワードを使用し、使用されたパスワードは2度と使われません。たとえパスワードが盗聴されたり漏洩したりしても、そのパスワードでは2度はログインすることができないため、セキュリティ的に高い安全性が保たれます。

ワンタイムパスワードの種類(トークン、スマホアプリ、メール、音声)

それではワンタイムパスワードはどのように生成すればよいのでしょうか。現在、ワンタイムパスワードの生成方法は主に4つの方法があります。

トークン

トークンとはワンタイムパスワードを生成するための小型の端末のことです。トークンを使うと6桁の数字(パスワード)を生成でき、このパスワードはある一定時間だけ有効で、だいたい30秒から1分ごとに再生成されます。そのため一度生成したパスワードはなるべく早く入力する必要があります。

トークンとはどのようなものか、手持ちの「ゆうちょ銀行」のトークンと「ジャパンネット銀行」のトークンの画像を用意しました。

トークンにはパスワードを生成するためのボタンが付いており、必要な時にパスワードを生成することで使用できます。生成されたパスワードは一定時間が経つと無効になり、再度別の6桁の数字列が表示されます。

トークンはパスワードを生成するための大切な端末です。もしトークンを紛失したり盗難にあったりしてしまうと、悪意のある者によって不正にログインされてしまうリスクもあります。

トークンのみではIDや銀行の口座番号や支店番号はわかりませんが、トークンを紛失してしまったらほっておくことはできません。速やかに紛失したことを銀行などに連絡して、紛失したトークンの無効化と、新しいトークンの再発行の手続きを行う必要があります。

スマホアプリ

スマートフォンにアプリとしてインストールするタイプのものあります。スマートフォンがあればトークンを管理する必要がなくなり誰でも利用することができます。主要なネットバンキングでは専用のアプリを提供していることもあります。

スマホアプリとして利用する時は、アプリのインストール後にワンタイムパスワード利用登録を行う必要があり、電話などでアプリ設定用のパスワードが通知されることがあります。

メール

自分が普段使用しているメールにパスワードを送信させるタイプもあります。ワンタイムパスワードを使用したいサービスにあらかじめメールアドレスを登録しておき、パスワードが必要な時に登録してあるメールアドレスにパスワードが送信される仕組みです。

アプリのような手軽さはありませんが、メールという誰でも使える方法でワンタイムパスワードが利用できるのがメリットの一つです。GmailやYahooなどのフリーメールでは万が一、第三者にメールの内容を盗み見られる可能性があるので、プロバイダやキャリアのメールアドレスを利用することがおすすめです。

音声(電話)

電話を利用する事で音声によるワンタイムパスワードを受信できるものもあります。認証が必要になると予め登録しておいた電話番号に電話がかかってくることを示すメッセージが表示され、それにユーザーが同意すると電話がかかってきて、音声でパスワードが伝えられます。

登録した電話番号で受信できる電話が利用者だけが使えるので、パスワードの流出の可能性は低く、音声による通知なので記録にも残りません。しかし頭の中で記憶することが難しい場合はメモを取るなどして残しておくことも必要です。

ワンタイムパスワードの仕組み

ワンタイムパスワードには大きく分けて2つの仕組みがあります。「チャレンジレスポンス方式」と「時刻同期方式(タイムスタンプ方式)」の2つです。

チャレンジレスポンス方式

チャレンジレスポンス方式では、まずユーザーから認証サーバーに対してアクセス要求を送信すると、認証サーバーはランダムな文字列(チャンレンジ)を生成してユーザーに送り返します。ユーザーはそのチャレンジの文字列を使って、あらかじめ決められている計算式でパスワードを計算し、レスポンスとして認証サーバーに送信します。ユーザーが計算したレスポンス(パスワード)と、認証サーバーが計算したパスワードが一致していれば、認証成功とします。

時刻同期方式(タイムスタンプ方式)

時刻同期方式はトークンを利用するタイプの認証方式です。トークンで表示されるパスワードは生成した時刻によって異なります。そのため認証サーバーとトークンとの間に時刻のズレがある場合は正しく認証されません。このため時刻を同期させることが必須となります。

認証サーバーでは利用者ごとにどのトークンを使っているか、どの時刻にどのような数字が表示されるか、などの情報を保持しています。このような仕組みであるため、認証サーバーは正当なトークンの利用者であることを識別でき、同じトークンを別のユーザーが使用しても認証できないような仕組みになっています。

ワンタイムパスワードのメリット

ワンタイムパスワードを使う事で以下のようなメリットがあります。

パスワード管理の負担を減らせる

銀行やWebサービスのサイトではユーザーを識別するためにIDとパスワードによる管理を行っているところがほとんどです。使用しているサイトが増えるにつれて、管理するべきIDとパスワードの絶対数は増えていきます。

また法人などでは社員のIDとパスワードを一元的に管理しているところもありますが、社員の数が増えるとパスワード管理の手間も増えていきます。ワンタイムパスワードを導入することで、このような固定のパスワード管理の手間を減らすことができます。

セキュリティの向上につながる

ユーザーの中には複数のサイトで同一のIDとパスワードを使いまわしているかたもいらっしゃるかもしれません。しかし同一のIDとパスワードを使いまわすと、リスト型攻撃の標的となった際に、登録しているサイトに不正アクセスされてしまう危険性があります。

ワンタイムパスワードは一度きりの使い捨てのパスワードです。そのためたとえパスワードが盗聴されても、そのパスワードを使いまわすことはできず、さらに生成されたパスワードはランダムな数字列であるため、推測も困難です。このようにワンタイムパスワードを導入することでセキュリティの向上につながります。

まとめ

ワンタイムパスワードについて解説してきました。ネットバンクやオンラインゲームではかなり以前から導入されていた技術ですが、詳しい仕組みについて知らなかった方もいらっしゃったと思います。これまで使われてきた固定のパスワードを使用する方式と比べても、ワンタイムパスワードはセキュリティが高いことがおわかりいただけたと思います。

ワンタイムパスワードは手間がかかる・めんどくさいという印象をお持ちの方もこれを機会に導入してみてはいかがでしょうか。





  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。