「ワンタイムパスワードってよく聞くけど使い方がわからないな」
「ワンタイムパスワードってどういう仕組みなんだろう」
ワンタイムパスワードは使い捨てパスワードのことです。
一度使うとそのパスワードはもう使えないので、第三者による不正利用のリスクを低減できます。
パスワードはスマホアプリなどで自動的に都度生成してくれるため、毎回考える必要もありません。
ここではワンタイムパスワードの仕組みから使い方・必要な場面まで解説していきます。
読み終えていただければワンタイムパスワードのことがよく分かりますよ。
目次
ワンタイムパスワードとはセキュリティ性の高い使い捨てパスワード
ワンタイムパスワードは従来のパスワードに比べてセキュリティ性の高い使い捨てのパスワードです。
ワンタイムパスワードの概要と仕組みを確認していきましょう。
①ワンタイムパスワードは、手元の機器に表示される一度しか使えないパスワード
ワンタイムパスワードとは1回(ワンタイム)のみ使える使い捨てパスワードです。
一度使ったパスワードは自動的に変更され、同じパスワードは二度以上使えません。
パスワードが一定時間の経過で変更されるため不正利用のリスクが低く、安全なパスワードになっています。
ワンタイムパスワードは専用の端末が随時生成/表示してくれます。
そのため、自分でパスワードを考える必要がありません。
また、ワンタイムパスワードは機械が生成する有効期限の短い文字列です。
そのため、パスワードを予想されセキュリティを突破される心配もありません。
認証の際は従来のパスワードによる認証と、専用端末を用いたワンタイムパスワードによる認証を2段階で行います。
二重に認証を行うことで安全性を高めることができるのです。
②ワンタイムパスワードの仕組みと防犯能力が高い理由
続いて、具体的にワンタイムパスワードがどのような仕組みで実現しているのか見ていきます。
ただし、この項目の内容を知らなくてもワンタイムパスワードを利用する上で特に問題は発生しません。
仕組みよりもワンタイムパスワードの利用場面や使い方を早く確認したい、という方は以下の項目を先にご覧ください。
あわせて読みたい
ワンタイムパスワードを使える場面を解説
ワンタイムパスワードの利用方法
(1)チャレンジレスポンス認証
ワンタイムパスワードには主に3種類の手法があります。
最初に解説するのは「チャレンジレスポンス方式」です。
チャレンジレスポンス方式は、認証の都度「鍵」が生成される形式の認証です。
チャレンジレスポンス認証の流れ
まず、ユーザーとサーバーは同じワンタイムパスワードをお互いに共有しています。
しかし、チャレンジレスポンス方式ではこのワンタイムパスワードを直接やり取りするわけではありません。
ユーザーとサーバーの間でやり取りされるのは「チャレンジ」や「レスポンス」という文字列です。
レスポンスはユーザーの端末が「チャレンジ」と「ワンタイムパスワード」を使って計算した文字列です。
チャレンジやレスポンスを使えば、直接パスワードのやり取りを行わなくてもパスワードを持っているか確認することができます。
パスワードを直接やり取りしないところに高いセキュリティを実現しているのがこの認証方式です。
(2)タイムスタンプ方式
次に解説するのは「タイムスタンプ認証方式」です。
タイムスタンプ方式は、一定時間ごとに変更されるパスワードを専用端末で表示する形式の認証です。
タイムスタンプ認証の流れ
認証の「鍵」の形が常に変化しているため、不正利用されにくい利点があります。
(3)カウンタ同期方式
最後に解説するのは「カウンタ同期認証」です。
カウンタ同期方式は、専用端末を利用した回数をもとにパスワードを表示する形式の認証です。
カウンタ同期認証の流れ
「ユーザーAさんは
1回目:000000
2回目:000001
3回目:000002……がパスワード」
といった認証回数に応じたパスワード列を記憶している
この方式は「鍵」がたくさんついたキーリングを使っているような認証です。
無数の鍵がついたキーリングから正しい1本の鍵を見つけ出すことは難しく、高いセキュリティ能力が期待できます。
ワンタイムパスワードが必要な場面を解説
次にワンタイムパスワードが必要な場面を解説します。
ワンタイムパスワードは金融機関での手続きなど、機密性がより重要な場面で多く導入されています。
一方で、例えばスマートフォンのロック解除などにワンタイムパスワードを利用することはできません。
採用しているサービスでのみ利用できるものと考えておきましょう。
①主な利用場面は金融機関でのオンライン手続き
現在ワンタイムパスワードが主に用いられているのは金融機関でのオンライン手続きです。
例えば、以下の手続きをオンラインで行おうとすると多くの金融機関でワンタイムパスワードが要求されます。
- インターネットバンキングへのログイン
- オンラインでの振込
- 固定式パスワードの変更
- 住所や電話番号等の登録情報の変更
- ATMオートロックサービス
- キャッシュカード利用限度額・振込限度額の変更
- 定期預金や外貨預金の中途解約
- 普段使っていないパソコンやスマートフォンからのログイン
インターネットバンキングを利用する際、ワンタイムパスワードの利用登録は必須と言えるでしょう。
利用登録・利用方法についてはこちらの項目をご参照ください。
②近年はリモートワークでの認証にも活用されている
その他にワンタイムパスワードが活用されている場面としては、リモートワークが挙げられます。
自宅等からオフィスと同じ環境にアクセスする際、認証としてワンタイムパスワードが活用されているのです。
情報漏洩リスクを低減する効果が期待できます。
ワンタイムパスワードの利用方法
最後にワンタイムパスワードの利用登録・利用方法を見ていきます。
ワンタイムパスワードを利用する際に必要なのが、パスワードを表示する端末。
以前は「トークン」と呼ばれる専用の機械を使うことが多かったですが、近年はスマートフォンアプリでパスワードを表示できるものも増えました。
「トークン」と「スマートフォンアプリ」の2種類に分けて、利用方法を解説します。
①「トークン」を使ってワンタイムパスワードを利用する方法
「トークン」とはワンタイムパスワードを表示する専用の端末です。
液晶画面のついた手のひらサイズの機械から、カード型の「ワンタイムパスワードカード」まで、形式はさまざまです。
いずれの形式でも、利用登録方法・利用方法は概ね以下の流れになっています。
今回は主な利用場面である金融機関での利用方法を解説します。
トークンを使ったワンタイムパスワードの利用登録方法
トークンは届いたらすぐに使えるわけではなく利用登録が必要です。
利用登録の方法は金融機関によってさまざまですが、ワンタイムパスワードの入力や電話による確認を行う場合が多いです。
続いて、ワンタイムパスワードを実際に使うときの利用方法を確認しましょう。
今回は「オンラインで振込をする」場合の利用方法を見ていきます。
トークンを使ったワンタイムパスワードの利用方法
ワンタイムパスワードの形式は6桁の数字であることが多いです。
入力時間は30秒~1分間ととても短いですが、6桁の数字を入力するだけなので時間は十分にあります。
トークンに表示された数字を落ち着いて入力しましょう。
②「スマホアプリ」を使ってワンタイムパスワードを利用する方法
続いてスマホアプリを用いてワンタイムパスワードを利用する方法を紹介します。
金融機関によって多少差はありますが、利用登録・利用方法はどこでも概ね以下のような流れになっています。
スマホアプリを使ったワンタイムパスワードの利用登録方法
本人確認の方法は何種類かありますが、いずれかひとつの方法で確認できれば利用可能になります。
アプリを用いたワンタイムパスワードの利用手順は以下の通りです。
こちらも「オンラインでの振込」を例に解説します。
スマホアプリを使ったワンタイムパスワードの利用方法
(1)アプリから振り込む場合
振込先や金額を入力する
(2)ブラウザやパソコン等の別端末から振り込む場合
スマホアプリを使う場合、アプリ内から振り込むとワンタイムパスワードを自動で入力してくれます。
入力の手間を増やさずセキュリティを強化できる点が魅力的ですね。
まとめ
- ワンタイムパスワードとは使い捨てパスワードである。
- パスワードの形が常に変わるため、防犯性が高い。
- 現在は、金融機関での手続きやリモートワークの認証などで利用されている。
- 利用に際して利用登録が必須。始めるときはトークンを使うかスマホアプリを使うか選ぼう。
ワンタイムパスワードを利用することで、機密性の高い取引も安全に行うことができます。
仕組みを理解して、正しく利用していきましょう。
