ワンタイムパスワードとは？セキュリティの仕組みと使い方について解説

様々な取引がネットで完結するようになり、送金や振込などの銀行手続きも店舗に出向かず、スマホひとつで済むようになりました。ただ、ネット上で重要な取引が完結する以上、セキュリティの強化は必須事項です。セキュリティ強化策のひとつとして、ワンタイムパスワードの普及が挙げられます。ワンタイムパスワードは既に多くの金融機関が利用していますので、ご存知の方もいらっしゃると思いますが、改めてワンタイムパスワードとは何なのか、どのように使うのかを確認していきましょう。

ワンタイムパスワードとは

ワンタイムパスワードとは、その名の通り1度きりの使い捨てパスワードです。自分のアカウントにログインする際にIDやパスワードを入力しますが、更にワンタイムパスワードを入力することで、2段階の認証手続きをします。

 

ワンタイムパスワードは一定時間が経過すると消滅し、消滅したパスワードは利用できなくなります。つまりパスワードは常に変わるため、固定の個人パスワードよりもセキュリティ強度が高いのです。悪意のある第三者による不正利用を防止する観点から大変有効だといえるでしょう。

 

銀行のアカウントへのログインのほか、株や為替、仮想通貨などの取引、ネット送金サービスや会社の社内ネットワークへのログイン時にも利用されています。

ワンタイムパスワードの仕組み

ワンタイムパスワードの仕組みは2種類あります。それぞれの方式について確認していきましょう。

 

（1）チャレンジレスポンス方式
ユーザーがサーバーとデータをやり取りし、そのたびにパスワードを生成する方式です。

 

ユーザーがサーバーにアクセスしようとすると、サーバーは「チャレンジ」と呼ばれる不規則な文字列を送ります。ユーザーは「チャレンジ」を確認し、特定の計算式を用いて「レスポンス」となるパスワードを送り返します。正しい「レスポンス」が送られたときに認証される仕組みです。

 

（2）時刻同期方式（タイムスタンプ方式）
専用の「トークン」と呼ばれる端末にパスワードが表示されるので、そのパスワードを入力すると認証されます。

 

ユーザーがトークンのパスワード表示ボタンを押すと、その時刻に限り有効なパスワードが表示されます。表示されるパスワードは一定時間が経過すると消滅し、新しいパスワードが表示される仕組みです。

 

トークンはカード型のものなどがありますが、スマホアプリで代用するケースも増えてきています。

ワンタイムパスワードの一般的な使い方

既にお伝えしたように、ワンタイムパスワードの生成方法は様々です。とはいえ、現在頻繁に利用されているワンタイムパスワードの利用方法はいくつかに限られています。

 

・アプリ
ワンタイムパスワードのアプリの中で、最もよく使われるのがGoogle Authenticatorです。指定されたQRコードをGoogle Authenticatorで撮影すると、時刻同期方式のワンタイムパスワードが生成されます。

 

また銀行もワンタイムパスワード機能を搭載したアプリを提供しています。たとえば楽天銀行の「楽天銀行アプリ for Business」は、法人ビジネス口座向けのワンタイムパスワード生成アプリです。

 

・トークン

 

トークンはワンタイムパスワードを表示するための端末です。ボタンを押すと、その時刻に限り有効なパスワードが表示されます。

 

社内ネットワークへのアクセスに利用している会社も多いのではないでしょうか。紛失すると不正利用されるなどの危険がありますので、管理には十分に気を付けなければいけません。

 

・メール
あらかじめ登録したメールアドレスに、ワンタイムパスワードが送られてくる方式もあります。

 

たとえば、楽天銀行で2段階認証の設定をすると、ワンタイムパスワードはメールで送られてきます。パスワードは60分間に1回のみ利用可能で、それ以降は無効になるためセキュリティ面でも安心です。

・電話
あらかじめ指定した電話番号に電話がかかってきて、自動音声通知でワンタイムパスワードを伝えるサービスもあります。

 

SMS（ショートメッセージ）にするか電話にするかを選択できるケースもありますので、都合の良い方を選びましょう。

ワンタイムパスワードのよくある疑問

ワンタイムパスワードについて、よくある疑問をまとめました。利用前にここで確認して、慌てないよう準備しておきましょう。

 

・ワンタイムパスワードを忘れた
固定のパスワードと異なり、ワンタイムパスワードは一定時間が経過すると無効になり、新しいパスワードが発行できる仕組みです。

 

表示されたパスワードが消えてしまったり、忘れてしまったりしたら、次に表示されるパスワードを利用しましょう。

 

・トークンを紛失した
サービスの利用には、トークンのワンタイムパスワードのみでなく、個人IDや固定のパスワード等も必要です。そのため、トークンを紛失したからといってそれだけですぐに不正利用されるわけではありません。これは2段階認証の利点です。

 

ただ、個人のトークンか会社のトークンかにかかわらず、トークンを紛失した場合はすぐに管理者に連絡し、トークンの利用を一時停止したのち、再発行を申請しましょう。

 

・スマホを機種変更した
ワンタイムパスワードをスマホアプリで利用している場合、スマホを機種変更する際の手続きは利用しているサービス提供会社によって異なるため、公式サイトや問い合わせで確認しておきましょう。

 

多くの場合、機種変更前にアプリを利用解除し、新しいスマホにアプリをインストールしてから再登録という流れになります。アプリの利用登録を解除する前に機種変更してしまった場合は、利用しているサービス提供会社に問い合わせ、対応方法を確認しましょう。

 

ITの発達で便利になるにつれ、セキュリティの重要度はどんどん増していきます。ワンタイムパスワードを始め、ネット上での自衛策を学んで、被害に遭わないよう気を付けたいですね。