【コラム】ワンタイムパスワードの仕組み、認証方式とそのメリットとは

 　ワンタイムパスワードは、通常のパスワードよりもセキュリティが高いとコロナ禍リモートワーク需要で注目されています。では、どのような仕組みで本人認証を行うのか、今回はワンタイムパスワードによる認証の仕組み、パスワード生成、及びメリットに関して触れてみたいと思います。

1) ワンタイムパスワード＝一度限りの使い捨てパスワード

　通常のパスワードは、一度設定したら継続的に使うことが出来ます。したがって、パスワードは厳重に管理する必要があり、流出した場合には悪用される危険性があります。
ワンタイムパスワードは、一度限り有効なパスワードで使い捨てパスワードです。ログインの度に毎回発行され、一度使用すると使えなくなり、他人に知られても悪用される危険性が低いのが特徴です。

2) ワンタイムパスワードの生成方式

　ワンタイムパスワードの生成方式は以下の3種類に大別されます：

2-1) 時刻同期方式
　タイムスタンプ方式、タイムシンクロナス方式、TOTP(Time-based One-Time Password)方式とも呼ばれます。ユーザがトークンを携帯し、そのトークンに表示されるワンタイムパスワードをインプットすることで本人認証をおこなく方式です。
表示されるワンタイムパスワードはユーザ/時間ごとに変化し、認証サーバ側は誰のトークンにいつどのような文字列が表示されるかと把握しています。一度表示された文字列は時間が経てば使えなくなり、ワンタイムパスワードとして機能します。

2-2) カウンタ同期認証
　カウンタ同期認証の仕組みは、トークン上に表示されるカウント数字とIDによって認証を行う方式です。具体的にはトークン状のボタンを押すことにより、ワンタイムパスワードの発行回数がカウントされます。そのカウント数字と利用する側のIDを認証するがわに送信することで認証が出来る仕組みです。時刻同期との違いは、時刻を利用するか、ワンタイムパスワードの発行回数を利用するかの違いとなります。

2-3) チャレンジ・レスポンス方式
　チャレンジ・レスポンス方式は、認証サーバ側から送られてくる文字列（チャレンジ）に対し、正しい計算結果（レスポンス）を返すことで認証する方式です。送られてくるチャレンジは毎回異なり、そのため使い捨てのワンタイムパスワードとして機能します。

3) ワンタイムパスワードのメリット

3-1) 不正アクセス防止
　ワンタイムパスワードは使い捨てであるため、使用後に第三者に知られても問題ありません。また、発行されるパスワードは意味のない文字列であるため、推測から特定される危険性も低くなります。そのため、ワンタイムパスワードは不正アクセス防止に有効な手段となります。

3-2) パスワードの管理負荷軽減
　パスワードの管理負荷は利用サービスが増える毎に大きくなります。負荷を減らすために同じパスワードの使い回しが発生し、セキュリティが脆弱なものとなります。そのためパスワードを定期的に変更することが義務化され、パスワードの管理負担は無視できないほど大きなものとなります。その管理負荷を強いられるのはユーザだけではなく、社員のパスワードをシステム担当者が管理する必要があり、システム部門の業務負担も増大します。ワンタイムパスワードであれば、その都度受け取ったパスワードを使い捨てるだけなので管理負担がありません。利用方法も簡単なので、ユーザビリティとセキュリティを両立することが可能です。

3-3) 低コストで導入・運用が可能
　高度なセキュリティを導入しようとするとコストをかける必要が出てきます。例えば、指紋等の生体認証を利用する場合、専用の高額な機器を導入しなければなりません。
しかし、ワンタイムパスワードは比較的低コストで導入可能です。その理由は、ワンタイムパスワードをCloud型で提供出来るため、設備投資があまり必要となりません。またワンタイムパスワード受信にトークンレス、若しくはスマホアプリを使用する場合、新たな危機を購入する必要もありません。

今回はワンタイムパスワードの仕組み、生成方式、及びそのメリットに触れてみました。ワンタイムパスワードは従来のパスワードとは違い、管理負荷が軽減出来、セキュリティが強固となるのが特徴で不正アクセス等に有効な対策です。導入の検討のご参考まで。