昨今、IDとパスワードの流出による不正アクセス被害が後を絶ちません。ワンタイムパスワードの導入はログインに必要な認証のステップを増やすことで、より強固なセキュリティ対策を実現できます。サイトの安全性を高めるために、ワンタイムパスワードやトークンのメリットと機能について知っておきましょう。
ワンタイムパスワードとは
ワンタイムパスワードとは、1回だけ使えるパスワードのことです。ユーザーがログインするときにワンタイムパスワードが毎回新しく生成され、1回使うか一定期間が過ぎると無効化することで、安全性を保っています。
ワンタイムパスワードの受信方法はいくつかありますが、トークンはその内の1つです。キーホルダーやカード程度の小型サイズで、ログインする時に有効なワンタイムパスワードが、トークンの液晶画面に表示されます。
ワンタイムパスワードの安全性が高い3つの理由
ここでは、ワンタイムパスワードの安全性が高い理由を解説します。ポイントは多段階認証・短時間での無効化・トークンによる発行です。
1 多段階認証になる
ワンタイムパスワードはそれ単体ではなく、通常のパスワードと組み合わせて使います。複数のパスワードを使って認証することを多段階認証と呼び、金融機関をはじめ多くのサービス認証で導入されています。
まず通常のIDとパスワードでログインして認証されたら、ワンタイムパスワードの入力を求められます。ワンタイムパスワードを入力して認証されると、ログインの成功です。通常のパスワードとワンタイムパスワードで認証を2段階で行い、どちらかのパスワードを間違うとログインできません。認証回数を増やすことで不正ログインを防止します。
2 トークンがなければワンタイムパスワードがわからない
トークンやスマホアプリがないとワンタイムパスワードを受け取れないため、第三者はワンタイムパスワードを知ることができません。もし他人が何らかの手段でIDとパスワードを入手しても、トークンやスマホアプリがないとログインできないのです。
3 1回しか使えず短時間で無効化される
ワンタイムパスワードは1回だけしか使えません。そのため使用済みのパスワードを他人に知られても、すでに使えなくなっているため安心です。また、有効期間が非常に短く、期間を過ぎると無効化されるという特徴もあります。パスワードの有効期間が短いため、万が一ワンタイムパスワードを他人に知られてしまっても、不正アクセスが可能な危険な状態はごくわずかな時間で済むのです。
とはいえ、ワンタイムパスワードだとしても他人に知られないように注意しましょう。もしワンタイムパスワードを発行するトークンが他人の手に渡ってしまうと、この安全性は意味を成さなくなってしまうため、トークンは厳重に管理しましょう。
ワンタイムパスワード導入によるメリット2点
ワンタイムパスワード最大のメリットはログイン認証の安全性を高めることですが、それ以外のメリットもあります。
1 パスワード管理の負担を減らせる
SNSやチャットツール、ECサイトなどID・パスワードを使うサイトは非常に多く、現在のユーザーは多数のID・パスワードを持っています。誰もがアカウントの管理に手間がかかっている状況のため、セキュリティを高めようとサイトのログインに必要な手順を増やすことは、ユーザーの負担をさらに大きくします。
その点、ワンタイムパスワードは毎回異なるパスワードを使うため、新たにパスワードを覚えてもらう必要がありません。ユーザーの負担を増やさず安全性を高められる一石二鳥のセキュリティ対策なのです。
2 トークンレスなら低コストで高いセキュリティ対策を実現できる
ワンタイムパスワードを発行する機器であるトークンは、ユーザーの数だけ用意する必要があるため一定のコストがかかります。また、修理や交換といったサポートに関するコストも必要です。トークンをハードウェアではなくスマホアプリ式にすれば、それらの費用がかからず低コストで高いセキュリティ対策を施すことが可能です。
ワンタイムパスワードによる認証の流れは2種類
ワンタイムパスワードによる認証は、「時刻同期方式」と「チャレンジレスポンス方式」の2つに分けられます。
1 時刻同期方式 (タイムスタンプ方式)
サイトにログインした時刻に応じて、トークンがパスワードを生成する方式です。トークンとログインサーバーはあらかじめ時刻が同期されており、決められた時間ごとにワンタイムパスワードを繰り返し生成しています。
ユーザーがログインしたとき、トークンにはその時刻で有効なワンタイムパスワードが表示されます。ログイン画面でワンタイムパスワードを入力して、サーバー側のワンタイムパスワードと一致すれば認証され、ログインが成功します。
ワンタイムパスワードを受け取る方法は、トークン以外にもスマホアプリ、SMSやメールなどがあります。
1 ワンタイムパスワードを受け取る方法1:トークン
ユーザー一人ひとりに配られるトークンには、ログイン操作を行った時刻に有効なワンタイムパスワードが表示されます。それを入力すればログインできます。
トークンはキーホルダー型・カード型・電卓型など形状に種類があり、キーホルダー型とカード型は携帯性に優れています。電卓型は数字のボタンを備えていることから、トークンの利用に暗証番号を設定してさらにセキュリティを高めることが可能です。
2 ワンタイムパスワードを受け取る方法2:スマホアプリ
トークン機能を備えたスマホアプリもあります。スマホにインストールして使うためハードウェアを用意する必要がありません。そのため低コストで導入できる点がメリットです。ハードウェアのトークンは1サイトにつき1個ですが、スマホアプリの場合は1つのアプリに複数のサイトを登録することも可能です。
3 ワンタイムパスワードを受け取る方法3:SMSやメール
携帯電話番号やメールアドレスを登録して、そこにワンタイムパスワードを送信してもらう方法です。SNSのログインなどに多く導入されています。電話番号やメールアドレスはユーザーがすでに所有しているため、ユーザー側はワンタイムパスワードを受け取る準備がほとんどいらないというメリットがあります。
トークン・スマホアプリ・SMSやメールいずれの方法も、サイトにログインするために必要な2つめの鍵といえます。トークンやスマホを紛失したりバッテリー切れなどを起こしたりするとワンタイムパスワードが分からなくなるため、特に厳重な管理が必要となります。ユーザーへの意識付けもサイト運営者の大切なミッションといえるでしょう。
トークンのバッテリー寿命は非常に長く、5年はもつとされています。セキュリティに関わる重要な機器なので、ユーザーからの問い合わせには速やかに対応できるサポート体制を整えておくことも必要です。
2 チャレンジレスポンス方式
チャレンジレスポンス方式は、ログイン操作をするとサーバーから「チャレンジ」と呼ばれる文字列が送られてきます。ユーザーはあらかじめ設定された計算式を使ってチャレンジからパスワードを算出します。これがワンタイムパスワードとなり、サーバーにレスポンスを返すことでログインできるという仕組みです。
サーバーから送られてくるチャレンジは毎回変わるため、レスポンスとして返すパスワードも違う内容になります。そのため、ワンタイムパスワードとして機能するのです。
ワンタイムパスワードでより強固な対策を!
ワンタイムパスワードを使った多段階認証は、多くのサービスで採用されているセキュリティ対策です。ITリテラシーの高いユーザーから見た場合、多段階認証を導入していないサイトはセキュリティ対策が弱いと不安に思われてしまうかもしれません。
ユーザーに安心してサイトを利用してもらうためにも、ワンタイムパスワードの導入を検討してみてはいかがでしょうか。
