ワンタイムパスワードと二要素認証

ワンタイムパスワードと二要素認証

ワンタイムパスワードとは

ワンタイムパスワードは、1回だけ使用可能なパスワードです。利用可能なパスワードは専用の機器やソフトウェアによって自動的に生成され、そして、生成されたパスワードは、一度利用されると使えなくなります。このような特徴から、「ワンタイム(一回)」パスワードと呼ばれます。なお、ワンタイムパスワードは、上記のような特徴を持つパスワードの総称です。ワンタイムパスワードの実装方法は1つではなく、さまざまな方法があります。

ワンタイムパスワードの長所と短所

ワンタイムパスワードは、上記のように、一度利用されると同じパスワードは二度と利用できなくなります。つまり、利用者はパスワードの使い回しができません。その結果、多くの場合において、ワンタイムパスワードのほうが、通常のパスワードよりも、パスワードの流出や盗難に対する認証上の安全性が高くなります。万が一パスワードが流出しても、そのパスワードはすでに利用できなくなっているので、セキュリティが破られることはありません。

また、ワンタイムパスワードのなかには技術仕様が標準化されているものもあり、オープンソースの認証システムにも実装されているので、こういった仕組みを使うことで、より透明性の高い認証システムを構築することが可能です。一方で、短所もあります。まず第一に、ワンタイムパスワードを利用するには、サービス提供側(認証する側)にワンタイムパスワードを解釈するための仕組みやシステムの導入が必要です。

また、認証を受けるユーザー側には、ワンタイムパスワードを発行するための専用の機器やソフトウェアが必要です。これらの準備や維持·運用のためには、当然費用がかかります。このため現実的には、高い安全性が求められるオンラインバンキングなどのサービス以外でワンタイムパスワードを導入するのは難しいという側面もあります。

二要素認証とは

二要素認証とは、素性の異なる2種類の情報を組み合わせて認証を行う認証方式です。たとえば、「パスワード」と「認証コード」(システムが自動生成し、登録携帯電話のメールアドレスに送付するなどしてユーザーに通知する文字列)の2種類の情報を用いた二要素認証などが現在では実際に利用されています。

二要素認証の長所と短所

二要素認証の最大の長所は、一方の情報が漏えい、または流出してもセキュリテイが確保される点にあります。二要素認証で利用する2種類の情報は素性が異なるため、同時に両方の情報を窃取することはできません。一方で、他の堅牢なセキュリティシステムを構築する場合と同様に、二要素認証の場合にも「二要素認証を実現するシステムを、コストをかけて構築する必要がある」という短所があります。また、登録情報が複雑になったり、入力項目が増えたりするという面では、ユーザーの負担も増えます。結局のところ、堅牢なセキュリティシステムの構築と、それに見合ったシステム構築のためのコスト増および操作·運用時の煩雑さは、トレードオフの関係にあるといえます。

二要素認証になっていない自称二要素認証の例

二要素認証のポイントは「性質が異なる情報を組み合わせるところ」にあります。そのため、攻撃者が一方の情報を入手後、その情報を使ってもう一方の情報を入手できるような場合、それは二要素認証とはいえません。「そのようなことがあり得るのか?」と思った人もいるかもしれませんが、結構あるので注意が必要です。

たとえば、二要素認証の1つの情報が「メールアドレス (ID) に設定しているバスワード」であり、「認証コード(もう1つの情報)の送付先が、そのメールアドレスになっている場合、メールアドレスのパスワードが窃取されると、もう1つの要素である認証コードは容易に入手可能になります。このような状況では、二要素認証に十分にその機能を発揮することはできません。

 

 

セキュリティカテゴリの最新記事