公開日: |更新日:
統合認証システムのセキュリティレベルを高めるために役立つのがワンタイムパスワードです。ワンタイムパスワードとは1回だけ利用できる使い捨てのパスワードのことで、メールやSMS、トークンなどで表示される、本人しか知りようのないパスワードを利用する認証方法です。ワンタイムパスワードとはどのようなものか、概要や仕組みについて解説します。
ワンタイムパスワードとは、統合認証システムで利用される、1回だけ使える使い捨てのパスワードのことです。もしくは使い捨てパスワードを利用した認証システムのことを指すこともあります。不正ログインやなりすましを防ぐためのもので、ログインを要求した際にメールやSNS、トークンなど、本人にしか見られない手段でパスワードが発行されます。ワンタイムパスワードを入力しなければログインできないシステムとなっているため、本人以外からのアクセスを拒否するために効果的な認証方法です。金融機関でよく利用されているほか、ECモールでもワンタイムパスワードを導入しているところはあります。
ワンタイムパスワードにはタイムスタンプ認証方式とチャレンジ・レスポンス認証方式、カウンタ同期方式の3種類があります。
タイムスタンプ認証方式では、トークンという小さな機器に一定時間表示されるワンタイムパスワードを入力して認証を行います。トークンでは時刻をもとにしながら、6桁ほどの数字列が表示されたり切り替わったりします。ログインのタイミングでトークンに表示されている数列を入力すればログインができる仕組みです。最近ではトークンではなく、スマートフォンのアプリでワンタイムパスワードを生成するタイプのタイムスタンプ認証もあります。
チャレンジ・レスポンス認証方式では、ログインを試みたときにメールやSMSにて、サーバーから入力をする必要がある数列が送信されてきます。送信される文字列は利用者への問題となっており、利用者は送信されてきた計算式を解き、ログイン画面のフォームに入力してサーバーに送信します。問題に正解しており、かつログイン情報が正確であった場合にのみ認証が成功となる仕組みです。
カウンタ同期方式では、トークンでワンタイムパスワードを発行する点ではタイムスタンプ認証方式と変わりません。しかしカウンタ同期方式ではワンタイムパスワードの発行回数を条件として、パスワードの入力を求めます。たとえば「10回目に表示されたパスワードを入力する」などの条件が付され、時刻ごとではなく発行回数ごとの認証を行うタイプです。
統合認証システムのセキュリティレベルを高めるためには、ワンタイムパスワードを活用することもひとつの方法です。ワンタイムパスワードはメールやSMS、トークン、アプリなどで本人しかわからない1回きりのパスワードを生成します。3種類の認証方式がありますが、いずれにしても不正ログインやなりすましを防ぐ効果は高いと考えられます。
本サイトでは統合ID管理について、基本的な知識や選び方などのポイントを解説しています。これから統合認証システムを導入しようとされているなら、セキュリティレベルを高めるためにこちらの記事もぜひご覧ください。
アカウントと生産性を守る
Withコロナ時代の
情報セキュリティ必須概念
クラウドサービスの普及やワークスタイルの変化によって、これからの情報セキュリティはシステマチックな運用が求められます。
アカウントのセキュリティを高めながら、運用者と利用者双方の利便性を高めるためには「統合認証基盤(統合認証システム)」の概念を理解しておかなければなりません。
