パスワード 
パスワードマネージャーに関しては、リスクが高すぎて信
ワンタイムパスワードは、自動的に生成される数字コードで、一度しか使用できません。 ワンタイムパスワードは、アカウントやシステムにアクセスする前にユーザーを認証するために使用され、アカウントに認証要素を追加する多要素認証 (MFA) の一形態として使用されることがよくあります。 金融機関などの多くの企業は、機微性の高いアカウントや情報へのアクセスを許可する前に、ユーザーにワンタイムパスワードを送り、身元を確認します。
ワンタイムパスワード、時間ベースのワンタイムパスワード (TOTP) との違い、およびそれらの受信を開始する方法について、さらに詳しく説明します。
Keeperの無料トライアルで、パスワード管理をもっと簡単に。
安心・安全・便利を個人用30日間無料で体験しましょう
ワンタイムパスワード(OTP)と時間制限付きワンタイムパスワード(TOTP)の違いは?
ワンタイムパスワード (OTP) と時間ベースのワンタイムパスワード (TOTP) の主な違いは、簡単に言うと、時間制限があるかないかで簡単に分けられます。
ワンタイムパスワード (OTP) は、一度使うと無効になるパスワードの総称です。これには様々な方法で生成されるパスワードが含まれます。例えば、テキストメッセージで送られるコードやアプリに表示されるコードなどがあります。ワンタイムパスワード の目的は、ユーザーの身元を確認し、セキュリティを強化することです。
一方、時間ベースのワンタイムパスワード (TOTP) はワンタイムパスワード の一種で、特に「時間ベース」で生成されるパスワードを指します。これは、事前に決められた短い時間間隔(通常は30~60秒)ごとに新しいパスワードが自動的に生成される仕組みです。ユーザーは、ログインする際にその瞬間に有効なTOTPコードを入力する必要があります。時間が経過すると、コードは自動的に変更され、古いコードは使えなくなります。
| OTP (ワンタイムパスワード) | TOTP (時間制限付きワンタイムパスワード) | |
|---|---|---|
| 定義 | 一度使用すると無効になる一時的なパスワード | 特定の時間間隔で自動的に変化する一時的なパスワード |
| 生成方法 | ランダム生成、SMS、メール、アプリなど多様 | 時間に基づいて算出されるアルゴリズムにより生成 |
| 有効期間 | 使用するとすぐに無効。または特定のイベント後に無効化 | 通常30~60秒間と決められた時間内のみ有効 |
| 使用例 | ログイン認証、取引確認、アカウント復旧など | 二段階認証、安全なログインプロセス |
| セキュリティ | 高い(一度限りの使用) | 非常に高い(短い時間内でのみ有効) |
要するに、ワンタイムパスワード は一度限りの使用に限られたパスワードの広範囲なカテゴリーを指し、TOTPはその中の「時間に基づいて変化するパスワード」という具体的な方法です。TOTPは、特定の時間内でのみ有効なパスワードを提供し、セキュリティを一層強化する方法の一つとして使われます。
ワンタイムパスワードの種類とその仕組みとは?
ワンタイムパスワードには、主に 2 つの種類があります。TOTP と HOTP です。 その仕組みは、使用するワンタイムパスワードの種類によって異なります。
時間ベースのワンタイムパスワード(TOTP) の仕組み
時間ベースのワンタイムパスワードは、ユーザーが、TOTP コードをサポートする専用の認証アプリケーションまたはパスワードマネージャーを使用して、アカウントサーバーから提供されたQR コードを最初にスキャンすることによって動作します。 QR コードをスキャンすると、認証アプリケーションに秘密のアルゴリズムを提供され、サーバーもそれを共有します。 その後、30~60 秒ごとに 6 桁のコードが生成されます。 また、ユーザーは秘密鍵を入力して TOTP を設定することもできます。
ユーザーが TOTP を有効にしたアカウントにログインする際には、認証アプリケーションから提供された 6 桁のコードを有効期限が切れる前に入力する必要があります。 ユーザーが時間内に TOTP コードを入力すると、アカウントへのログインに成功します。
HMACベースのワンタイムパスワード(HOTP) の仕組み
ハッシュベースのワンタイムパスワード (HOTP) は、TOTP とは異なる要素を使用して、ハッシュベースのメッセージ認証コード (HMAC) と呼ばれるコードを計算します。 HOTP は、コードが要求された回数をカウントしてコードを計算するため、時間ベースではなくカウンターベースです。
HOTP コードは、使用されるか、新しい HOTP コードが要求されるまで有効です。
ワンタイムパスワードを使用する利点
ワンタイムパスワードの使用には、アカウントの侵害防止とリプレイ攻撃からの保護という 2 つの大きな利点があります。
ワンタイムパスワードは、アカウント侵害に役立つ
ワンタイムパスワードは、他の MFA 方法と同様に、誰かがあなたのログイン認証情報にアクセスできたとしても、あなたのオンラインアカウントが侵害されるのを防ぎます。 マイクロソフトの調査レポートによると、MFA はアカウント乗っ取り攻撃の 99.9%以上をブロックできると報告されています。
例えば、ある人がオンラインでアカウントを持っていて、そのアカウントにはユーザー名とパスワードが必要です。しかし、残念ながら、その情報が何らかの方法で漏れ出してしまい、悪意のある人(サイバー犯罪者)がその情報を手に入れました。その犯罪者は、手に入れた情報を使ってそのアカウントにログインしようとします。
ここで、そのアカウントのセキュリティを守るための追加手段として「ワンタイムパスワード」が登場します。これは、ログインするたびに変わる一回限りのパスワードで、通常、スマートフォンのアプリやパスワードマネージャーに表示されます。このワンタイムパスワードは、正しいユーザー名とパスワードを入力した後に求められるため、アカウントの持ち主だけが次のステップに進むことができます。
この場合、サイバー犯罪者はユーザー名とパスワードを持っていても、ワンタイムパスワードがなければアカウントにログインすることができません。ワンタイムパスワードは犯罪者がアクセスできない場所(たとえば、あなたのスマートフォンやパスワードマネージャー)で生成されるため、アカウントの安全は守られます。
ワンタイムパスワードは、サイバー攻撃から保護できる
リプレイ攻撃は、リピート攻撃または再生攻撃とも呼ばれ、サイバー犯罪者がネットワークを盗聴し、交換されるデータを傍受して、後でデータを遅延させたり繰り返したりするサイバー攻撃の一種です。 サイバー犯罪者はデータの傍受に成功すると、クライアントのセッション ID も盗み出し、ネットワーク上の有効なクライアントのように見せかけます。
ワンタイムパスワードが非常に安全なのは、一度しか使用できない点にあります。そのため、仮にサイバー犯罪者がリプレイ攻撃を使用してあなたのいずれかのアカウントのログイン認証情報を傍受できたとしても、あなたが入力したパスワードは無効となり、再利用することはできません。
ワンタイムパスワードをどこで確認し受信できるのか?
各オンラインアカウントのセキュリティ設定でワンタイムパスワードを有効にすることで、ワンタイムパスワードの受信を開始できます。 アカウントでワンタイムパスワードを有効にすると、ワンタイムパスワードの受信方法を尋ねられます。 以下のような選択肢があります。
ご注意:すべてのウェブサイトが MFA の一形式としてワンタイムパスワードの使用をサポートしているわけではありません。
SMSテキストメッセージのワンタイムパスワード
このオプションを選択すると、ワンタイムパスワード(OTP)コードをテキストメッセージで受け取ることができます。便利ではありますが、SIMスワッピング攻撃のため、テキストメッセージでOTPコードを受け取る方法は最も安全性が低い方法です。
電話による通話のワンタイムパスワード
このオプションを選択すると、電話による通話でOTPコードを受け取ることができます。このOTPオプションもSIMスワッピング攻撃に対して脆弱です。
メールでのワンタイムパスワード
このオプションを選択すると、OTPコードがメールで送信されます。しかし、メールアカウントは一般的に狙われやすいため、メールが侵害されると、サイバー犯罪者がOTPコードを入手できる可能性があります。
認証アプリでのワンタイムパスワード
このオプションを選択すると、Google Authenticatorのような別のアプリケーションを電話にダウンロードする必要があります。認証アプリケーションによって生成されるコードは時間ベースなので、期限が切れる前に入力する必要があります。Keeper®のような一部のパスワードマネージャーには、アカウントのワンタイムパスワードを生成するオプションもあります。
まとめ:強力なパスワードとワンタイムパスワードでアカウントを保護する
強力なパスワードとワンタイムパスワードを併用することで、オンラインアカウントを侵害から保護できます。 各オンラインアカウントには、再利用されることのない、一般的な辞書の単語やフレーズを含まない、ユニークで強力なパスワードを設定する必要があります。
常に強力なパスワードを使用できるようにする最善の方法は、パスワードジェネレーターを使用することです。 多くのパスワードマネージャーには、パスワードジェネレーターが内蔵されており、アカウントごとに強力なパスワードを作成することができ、またそれらを安全に保存することができます。 強力なパスワードに加えて、アカウントにはワンタイムパスワードや別の方法でMFAを有効にすることも必要です。
この機会にKeeperパスワードマネージャーの30日間の個人版フリートライアルまたは、14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。
