認証の基本手段として広く利用されているパスワードですが、パスワードには運用上の問題のために、その安全性が低下する恐れがつきまといます。
これを解決するものとして開発されたものが「ワンタイムパスワード」です。

変更のない「固定パスワード」と、毎回変更される「ワンタイムパスワード」

文字列を入力して認証するパスワードですが、入力する文字列が毎回変わらない方式のパスワードに対して、認証のたびに異なる文字列を入力する方式として「ワンタイムパスワード」があります。入力する文字列が、その一度限り有効なため「ワンタイム」と呼ばれます。英語にすると「One-TimePassword」となり、頭文字をとって「OTP」と略されることもあります。最近では、企業の業務システムにおける認証だけでなく、一般においても、金融機関のサイトへの認証等にワンタイムパスワードを使うケースが出てきました。
以降、ここまで「パスワード」と呼んでいた、入力する文字列が毎回変わらない一般的なパスワード方式のことを、文字列が変わらない、つまり「固定」されているため、「固定パスワード(方式)」と呼ぶことにします(単に「パスワード」を表記されている場合は、入力する文字列のことを指します)。
固定パスワードでは、同じパスワードを使い続けるため、セキュリティ面でどうしても不安が生じます。辞書に載っている言葉や誕生日等、第三者に推測されやすい言葉・数字を採用してしまいがちな点や、同じパスワードを複数のWebサイト・サービス等で、長期間にわたって使い回してしまい、どこかでが漏洩した結果、複数のサービスに影響が及ぶ可能性があります。
また、プライベートのパスワードと、会社で使用しているパスワードを同じ文字列に設定していて、プライベートで使用しているサービスで情報漏洩が起きた結果、会社のシステムへの攻撃を許してしまう危険性は、個人の問題ではなく、その企業とシステム担当者の課題となります。
この課題の解決のために、企業では固定パスワードを利用する場合は「英字・数字・記号が混在する複雑な文字列を設定すること」や「定期的に変更すること」、「メモや、パソコン内ファイル等でパスワードを記録しないこと」がポリシーとして定められ、情報漏洩対策として従業員教育が行われることになります。
しかしながら、業務に複数のシステムを使用し、複数の固定パスワードを使用するようになった現在では、従業員の負
担が大きくなり、負担に耐えられなくなった従業員が出てきます。そのため、企業の情報漏洩事件のニュースが後を絶ちません。
この課題を解決する方式が、ワンタイムパスワードです。ワンタイムパスワードは、ログインのたびに新たなパスワードを発行する仕組みなので、一度使ったパスワードを繰り返し使うことがありません。ですので、メモで残したり、ブラウザに記憶させることに意味がなくなります。このため、パスワードの漏洩による不正ログイン対策に有効であり、セキュリティを高めることができるのです。

「ITセキュリティ強化の道」記事カテゴリ

※この記事は、パスロジムック「ITセキュリティ強化の道 ~「認証」を極めて、セキュリティ&業務効率UP!~」から抜粋・転載した内容です。