1. HOME
  2. セキュリティ
  3. ワンタイムパスワードの仕組みは? 正しく理解してセキュアなインターネット環境を実現しよう

ワンタイムパスワードの仕組みは? 正しく理解してセキュアなインターネット環境を実現しよう

私たちの生活はいまや、インターネットなしでは成り立たないといっても過言ではありません。
しかし、安心してインターネットを利用するにはセキュリティの確保が必須。
そこで近年、多く用いられるようになってきたのが、「ワンタイムパスワード」です。

ワンタイムパスワードがセキュリティの向上に有効であることは認識していても、実際どうやって使うのがよいか、正しく理解できているでしょうか?

ワンタイムパスワードの仕組みを確認し、ワンタイムパスワードをビジネスで有効に活用する方法を学びましょう。

【ワンタイムパスワードとは】

ワンタイムパスワードの意味から確認したいと思います。

●ワンタイムパスワードの定義

ワンタイムパスワードとは、認証時に使われるパスワードの一種。
1回のみ使用できる使い捨てのパスワードのことです。

10分ごと、30分ごとなど、一定時間で自動更新されるため、決まった時間を過ぎれば無効になってしまいます。
固定パスワードよりも、セキュリティの確保がしやすいといえます。

●認証の仕組み

利用するサービスに対して、操作を行なっているのが利用者本人だということを証明するプロセスである「認証」。
利用者がIDとパスワードを入力すれば、サービス提供者側は利用者が本人であることを認識することができるというもの。

認証方法として次の3つがあります:

  • 利用者のみが知っている情報(IDや固定パスワードなど)による認証
  • トークンなどで付与されるワンタイムパスワードを利用する認証
  • 利用者の声や指紋などを使う生体認証

・認証にパスワードを使用する危険性

サービスによってパスワードを分けるのは面倒なもの。
その危険性は感じながらも、つい同じパスワードを複数のサービスで使いまわしてしまいがちです。

仕事で使われるパスワードでも、想定されにくいパスワードを設定すべきなのに、会社名や自分の名前を使ったりと安易な設定がされていることもあります。個人利用であればまだしも、ビジネスユースのパスワードが攻撃被害にあえば企業の機密情報が外部に漏れてしまいかねません。
そうなれば、自社のみならず大切な顧客にも被害が及んでしまう可能性があります。

・2要素認証が普及

最近、B2B、B2Cともに利用が急増している2要素認証とは、3つの認証方法から2つを組みあわせて使う認証方法です。

生体認証は導入にかかる費用が高いため、利用されることはまだ多くありません。
その点、ワンタイムパスワードの導入は比較的リーズナブルに行えるため、IDと固定パスワードによるトラディショナルな認証と、ワンタイムパスワードの組み合わせによる2要素認証が一般的になりつつあります。

【ワンタイムパスワード活用のメリット・デメリット】

固定化したパスワードよりも、安全性の高いワンタイムパスワード。
活用する上でのメリット、デメリットを確認してみましょう。

●ワンタイムパスワードのメリット

ワンタイムパスワードを利用するメリットは、次の2つが考えられます。

・不正アクセス防止

固定パスワードではIDと共にパスワードが流出すると、悪意ある第三者にアカウントを乗っ取られ、不正アクセスされる危険性が否めません。

一方、一定時間内に一度しか使うことのできないワンタイムパスワードであれば、たとえ流出しても一定時間を過ぎれば無効になるため、不正ログインされるリスクが低いのです。

・パスワード管理の負担削減

ワンタイムパスワードを使えば、ユーザーに大きな負担を強いることなく、セキュリティを強化できます。

ユーザーが自発的にパスワードを変更しなくとも、ワンタイムパスワードを得るための簡単なオペレーションでセキュリティを確保し、不正ログインを防ぐことが可能になるからです。

●ワンタイムパスワードのデメリット

不正アクセス防止に効力があるワンタイムパスワードですが、100%万全というではありません。
ワンタイムパスワードのデメリットを確認しましょう。

・サイバー攻撃すべてを防げるわけではない

ユーザーのPCがすでにウイルス感染していて、他者がリモートで画面を盗み見ることができるようになっている場合には、ワンタイムパスワードを新たに生成しても見られてしまう可能性があります。

最悪な場合には、ユーザーよりも早く第三者にワンタイムパスワードを使用される危険もあるのです。

・入力が面倒

ユーザーによってはワンタイムパスワードの生成プロセスを面倒、と感じる方も少なくありません。
固定パスワードを使ったログインよりプロセスが増えるため、ワンタイムパスワードの設定をしないユーザーがまだ多数いることはまぎれもない事実です。

【ワンタイムパスワードの受け取り方法】

ワンタイムパスワードは、次の5つの方法で受け取ることができます。

●トークン

ワンタイムパスワードを受け取るトークンの種類には、キーホルダータイプかカードタイプのハードウェアと、スマホに専用アプリをインストールしたソフトウェアがあります。

どちらも操作がわかりやすく使い勝手がよいのですが、専用機器あるいは専用アプリがないことには、ワンタイムパスワードを受け取ることができません。

●トークンレス

ユーザーだけが解読可能な暗号表をブラウザ上に提示し、ワンタイムパスワードを読み取る方法です。

物理的なトークンが不要で、セットアップや管理も必要としないため、大規模ユーザ数でもサービスの提供が即日、開始可能です。
ただし、スムーズな導入にはユーザーが事前に暗号表の使い方を知っておく必要があります。

●SMS

ユーザーの携帯電話番号あてに、ショートメッセージ(SMS)でワンタイムパスワードを送信する方法です。
携帯電話があれば誰でも使えますし、ブロックされてさえいなければユーザーに届くのでとても確実な方法といえるでしょう。

ただし、パスワードを発行するごとに料金が発生するため、頻繁に送信する場合はSMS配信サービスの利用がベターです。

●メール

ワンタイムパスワードをメールアドレスあてに送る方法です。
メールであれば費用が別途かかることはありませんが、メールアドレスがブロックされてる可能性がSMSに比べると高いといえます。

メールを使って行う場合には、安全のために、Gmailなどのウェブメールアドレスではなくキャリアのメール利用をおすすめします。

●音声(電話)

事前に登録した電話番号へ音声で通知する方法もあります。
文字での通知履歴が残らないのはよいのですが、履歴がないために忘れてしまうことも少なからずあるので、その点は注意が必要です。

【ワンタイムパスワードの仕組みを知ろう】

ワンタイムパスワードの仕組みには2つの代表的な方法があります。
確認してみましょう。

●チャレンジレスポンス型

ユーザーが認証を要求すると、サーバがチャレンジコード(問題)をユーザに返すので、ユーザーは指定された計算式を使い、チャレンジコードに対する答えである文字列(ワンタイムパスワード)を生成(レスポンス)、これをサーバーへ送り返します。

サーバーはユーザーからのレスポンスと、サーバー自身が計算したパスワードを照合し、送られてきたレスポンスが正しいかを判断して認証するという方法が、チャレンジレスポンス型です。

●タイムスタンプ型(時刻同期)

ユーザーの手元にあるトークンのボタンを押すと、その時刻で有効なワンタイムパスワードが表示されます。
表示されたパスワードを入力してサーバーに送信すると、サーバーが照合を行い、情報が一致していれば認証される、という方法がタイムスタンプ型です。

生成したパスワードは、定められた一定時間が経過すると利用できなくなります。

【ワンタイムパスワードの導入前の注意点】

ワンタイムパスワードを導入するにあたり、注意すべき点も解説します。

●ウィルス感染防止対策は万全に

近年、企業がランサムウェア攻撃を受け、膨大な身代金が要求されることが後を絶ちません。
メールやSMSのアカウントを乗っ取り、ワンタイムパスワードを盗みだす不正アプリケーションの存在も確認されています。
盗まれたワンタイムパスワードの代わりにランサムウェアが仕込まれたメールやSMSを受け取ってしまった企業は、大きな損害を被ることになり、ひいては送信元が加害者となってしまうのです。

OSやソフトウェア製品は純正のものを利用し、アップデートを頻繁にすることで、ワンタイムパスワードの安全性と、自社と顧客双方のシステムを守ることになります。

●デバイスの管理を徹底する

ワンタイムパスワードを送信するデバイスとなる会社資産のスマホやPCは、機密保持の塊と位置付け、厳しい管理を全社員に促しましょう。

さらに、純正アプリ以外の会社PCやスマホへのインストールは禁止し、遵守させることで、ワンタイムパスワードのセキュリティは高まるはずです。

【まとめ:ワンタイムパスワード導入でユーザーが安心して利用できるサービスを】

インターネットを利用する上でのセキュリティ確保は、ネットありきの社会において絶対条件です。
アカウント乗っ取りなど、悪意ある第三者の手口は年々、巧妙化しているので、徹底した安全対策を継続して行う必要があります。
不正アクセス防止にはワンタイムパスワードを活用した二要素認証が有効です。

ハードウェアや専用のアプリの導入も不要、メールのようにブロックされにくく、顧客の携帯電話番号さえわかれば、確実にワンタイムパスワードを送信できるSMS。
ぜひ、SMSを活用したワンタイムパスワードの導入で自社サービスのセキュリティを強化し、ユーザーが安心して使えるサービスを実現してみませんか?

SMS活用には、業界最大手のSMS配信サービスである絶対リーチ!®導入をお勧めします。

絶対リーチ