ワンタイムパスワードとは？発行方法やメリットも一緒に紹介

ワンタイムパスワードとは

ワンタイムパスワードとは、名前のとおり一度しか使えないパスワードのことで、各種サービスやシステムに用いられています。

ワンタイムパスワードを使用した直後と、有効期限以内に使用しなかった場合は無効になるため、第三者の不正利用やログインを阻止する方法として役立ちます。

有効期限は短くて30秒ほど、長くて数日間などシステムによりまちまちです。

具体的な活用方法としては、たとえばシステムに通常のIDとパスワードが入力されたら、ユーザーの端末にワンタイムパスワードを送ります。

ワンタイムパスワードはリアルタイムで本人のもとにしか送信されないため、ユーザーがログイン画面でワンタイムパスワードを入力したら本人であることを証明できるというわけです。

ワンタイムパスワードの仕組み

ワンタイムパスワードが生成される仕組みには、主に「チャレンジレスポンス認証方式」と「タイムスタンプ方式」の2種類があります。

チャレンジレスポンス認証方式とは、ユーザーと認証サーバーでデータを送り合うことで認証を行う仕組みのことです。

具体的には、下記の流れでパスワードの生成と認証を行います。

チャレンジレスポンス認証方式の流れ

ユーザーがアクセス要求を認証サーバーに送信する
認証サーバーから「チャレンジ」とよばれるランダムな文字列が送られる
ユーザーは「チャレンジ」に対してあらかじめ設定された計算式で求めた「レスポンス」とよばれる結果を、認証サーバーへ送信する
認証サーバーで計算したレスポンスと、ユーザーから送られてきたレスポンスを照合し、一致していれば認証する

もう一つのタイムスタンプ方式では、トークンとよばれる専用端末やスマートフォンのアプリなどを利用してワンタイムパスワードを生成し、認証を行います。具体的には、下記のような流れです。

タイムスタンプ方式の流れ

ユーザーが所有しているトークンやスマートフォンのアプリを使い、ワンタイムパスワードを生成する
認証サーバーが時刻とパスワードを照合し、一致したら認証する

ワンタイムパスワードの発行方法

ここからは、ユーザーにワンタイムパスワードを発行する下記の4つの方法を紹介します。

ワンタイムパスワードを発行する4つの方法

トークンを配布する
スマートフォンのアプリをダウンロードしてもらう
電話音声で通知する
メール・SMSで通知する

方法①トークンを配布する

ワンタイムパスワードを発行する1つ目の方法は、トークンとよばれる専用の端末をユーザーに配布することです。

トークンの種類にはさまざまなものがありますが、なかでも手のひらほどのサイズで、ワンタイムパスワードとして数字を表示するための小さな液晶がついているものが一般的です。

この方法では、ユーザーに端末を渡すだけで簡単にワンタイムパスワードを発行できますが、トークンの購入や管理にコストがかかってしまうというデメリットがあります。

また、ユーザーにとってはボタンを押すだけでワンタイムパスワードがわかるという利点がある一方、トークンを紛失してしまう恐れがあるというリスクもあります。

方法②スマートフォンアプリをダウンロードしてもらう

ワンタイムパスワードを生成できるアプリを、ユーザーにダウンロードしてもらうという方法もあります。

この方法では、スマートフォンがあればパスワードを発行できるため、トークンのように端末を購入する費用や、管理の手間がかかりません。

しかし、アプリの開発にかかる費用や、メンテナンスにかかるリソースなどを確保する必要があります。

アプリであればトークンのように紛失する危険性がなく、ユーザーにとって利便性に優れているため、トークンよりもアプリを推奨する企業が増えつつあります。

方法③電話音声で通知する

ワンタイムパスワードを発行する3つ目の方法は、電話音声を使用してユーザーに通知するといったものです。

あらかじめ登録されたユーザーの電話番号に対し電話を発信して、機械音声でワンタイムパスワードを通知します。

この方法の特徴は、電話番号さえわかればパスワードを発行できるという手軽さです。そのため、ユーザー側でトークンを保管したり、アプリをダウンロードしたりする手間が発生しません。

ただし、通話料金がかかるという点や、ユーザーにとっては音声を聞きながらパスワードを入力することが難しいというデメリットもあります。

方法④メール・SMSで通知する

最後に紹介するワンタイムパスワードを発行する方法は、メールやSMSでユーザーに通知するという方法です。

ユーザーのスマートフォンやフィーチャーフォンに標準搭載されているアプリを使って通知できるため、手軽に始められるという利点があります。

特にSMSは視認性が高く、携帯電話番号は基本的には一人に一つ利用されている点から本人確実性は高さがあります。

ワンタイムパスワードを導入する3つのメリット

ここからは、ワンタイムパスワードを導入する下記の3つのメリットを紹介します。

ワンタイムパスワードを導入する3つのメリット

ユーザーのパスワードが流出した際の被害を抑えられる
ユーザーの負担を最小限に抑えてセキュリティを強化できる
さまざまなサービスに導入できる

メリット①ユーザーのパスワードが流出した際の被害を抑えられる

1つ目のメリットは、たとえユーザーのパスワードが第三者に流出したとしても、被害を最小限に抑えることができるという点です。

なぜなら、ワンタイムパスワードはユーザー本人の端末に通知されるので、端末を持っていない第三者は最終的にログインすることができないためです。

ログインIDとパスワードが入力されたあとにワンタイムパスワードを通知すれば、第三者のログインを防ぐことができます。

また、ワンタイムパスワードが流出してしまった場合でも、一度使用するか、有効期限が過ぎれば無効になるため、第三者のログインを阻止できる可能性も高まります。

メリット②ユーザーの負担を最小限に抑えてセキュリティを強化できる

2つ目のメリットは、ユーザーに負担をかけずにセキュリティを強化できるという点です。

セキュリティ強化のためには定期的なパスワードの変更が推奨されますが、ユーザーにとっては負担が大きい作業です。

また、変更するたびに新しいパスワードを覚えなければならないため、ユーザーが覚えやすい単純なパスワードに再設定することで、かえってセキュリティが低下する恐れもあります。

そこで、ユーザーがログインするたびにワンタイムパスワードを発行することにより、ユーザーの手を煩わせることなく、簡単にセキュリティを強化できます。

また、ワンタイムパスワードは一度しか使えないため、ユーザーは毎回覚える必要がなく、手軽にログインすることが可能です。

メリット③様々なサービスに導入できる

ワンタイムパスワードはさまざまなサービスに利用できるという点もメリットの一つです。

たとえば、金融機関やSNS、Webメール、仮想通貨を扱うアプリなど多くのサービスで導入されています。

サービス内容に関わらず不正アクセスの防止やセキュリティを強化できるという点は、企業とユーザーの双方にとってメリットと言えるでしょう。

ワンタイムパスワードを導入するデメリット

続いて、ワンタイムパスワードを導入する下記の3つのデメリットを紹介します。

ワンタイムパスワードを導入する3つのデメリット

端末を乗っ取られた場合は阻止できない
ユーザーの負担が増える
フィッシングサイトで悪用される可能性がある

デメリット①端末を乗っ取られた場合は阻止できない

1つ目のデメリットは、ユーザーの端末が盗まれた場合や、第三者に端末を乗っ取られた場合は、ログインを阻止することが難しいという点です。

なぜなら、ワンタイムパスワードはトークンやスマートフォンといった端末に送られるので、端末自体が盗まれた場合、ワンタイムパスワードが第三者に漏れてしまうためです。

また、スマートフォンやパソコンがユーザーの手元にあったとしても、ウイルスに感染するとワンタイムパスワードが書かれたメールやSMSのデータを盗まれる危険性もあります。

重要な情報にアクセスする際は、毎回パスワードの入力が必要となるように設定したり、パスワードを定期的に変更するようにユーザーへ通達したりして、対策を行いましょう。

デメリット②ユーザーの負担が増える

2つ目のメリットとして、ユーザーの負担が増えるという点も挙げられます。

先ほど、メリットの項目では「ユーザーに負担をかけずにセキュリティを強化できる」とお伝えしましたが、毎回ワンタイムパスワードを入力することを負担に感じるユーザーもいます。

同じパスワードを入力するほうが楽だと思うユーザーにとっては、不便な機能だと見なされてしまう可能性が高いでしょう。

デメリット③フィッシングサイトで悪用される可能性がある

ユーザーがフィッシングサイトに誘導されてしまう危険性があるという点も、デメリットの一つです。

本物のサイトに酷似したフィッシングサイトで、ログインIDとパスワード、ワンタイムパスワードを求められると、ユーザーは安心して情報を入力してしまう可能性があります。

そのため、正しいログインURLをユーザーへ周知しておくことが大切です。

SMSによるワンタイムパスワードの活用事例

ここからは、近年導入が進んでいるSMSでのワンタイムパスワードについてお話しします。

SMSでのワンタイムパスワードの送信をSMS認証と言います。SMS認証は導入コストや開発工数が他のワンタイムパスワードの発行方法に比べ、低く、手軽に実施できる施策としておすすめです。

実際にワンタイムパスワードを活用している業界を紹介します。

金融機関

メガバンクをはじめとした多くの金融機関が、セキュリティ対策としてワンタイムパスワードを導入しています。

たとえば、インターネットバンキングで振込手続きや重要な取引を行う際にワンタイムパスワードを発行することで、第三者の不正使用を防ぐといった活用方法があります。

ワンタイムパスワードの発行方法は、トークンやスマートフォンのアプリ、SMSなど金融機関によりさまざまです。

ワンタイムパスワードを導入している金融機関の例は、下記のとおりです。

ワンタイムパスワードを導入している金融機関

三井住友銀行
みずほ銀行
三菱UFJ銀行
各地方銀行
Pay Pay銀行など

教育機関

教育機関においても、第三者の不正ログインによる学生の個人情報の流出が多発していることを機に、ワンタイムパスワードの導入が始まりました。

たとえば、大学内の情報システムや各種Webサービスを利用する際に、学生と教職員にワンタイムパスワードを発行することで、セキュリティの強化に役立てられています。

ワンタイムパスワードの発行方法として、主にスマートフォンのアプリやメールなどが利用されています。

ワンタイムパスワードを導入している教育機関

京都大学
近畿大学
神戸学院大学
立教大学など

リモートワーク

コロナ禍を機に増えたリモートワークでも、ワンタイムパスワードは活用されています。

リモートワーク中は通信環境のセキュリティ対策が社内に比べて弱い傾向があることから、サイバー攻撃の被害を受ける可能性が高まります。

そのため、社外から社内の情報システムにアクセスする際に、ワンタイムパスワードを導入する企業が増えているのです。

ワンタイムパスワードを活用してユーザーの安全性と企業の信頼性を高めよう

いかがでしたでしょうか？

ワンタイムパスワードは、セキュリティ強化を目的にさまざまな企業で導入が進められています。

ユーザーに負担をかけることなく、簡単にセキュリティを強化したいとお考えの企業様は、ワンタイムパスワードの導入を検討してみてはいかがでしょうか？

CM.comでは、お客様のアプリやシステムのセキュリティ強化のために、ユーザーの携帯番号宛てにワンタイムパスワードを自動送信できるSMS認証APIサービスをご提案しております。

ぜひお気軽にご相談ください。