ワンタイムパスワード認証

ワンタイムパスワード認証 とは †

名称 †

• OTP（One Time Password）

概要 †

• 使い捨てパスワード方式
• ワンタイム（毎回異なる）のパスワードを使った認証。
• 盗聴などによりパスワードが漏洩しても、不正アクセスを防ぐ可能性が高い
• 生成するパスワードが推測されないようにする必要がある
  • パスワードは疑似乱数文字列を使う。
• 認証する度にパスワードが発行されるので、ユーザーがパスワードを記憶する必要がない
  • 仕組み上、ユーザーが記憶・記録することに意味がない仕組みにする必要がある
  • パスワードを発行してから一定期間経つと使うことができなくなるなど

• パスワード認証などとの併用が望ましい。（多要素認証）

• 生成
  • ハードウェア（セキュリティキー）
  • ソフトウェア（認証アプリ）
• 送信
  • 電子メール
  • SMS
• バックアップコード

ワンタイムパスワード生成の仕組み †

• 事前にパスワードリストをシステムとユーザとが共有して順番に使う。
• パスワード発生器（トークン）をユーザが保持して、認証の都度パスワードを生成する。
• パスワード生成は、時刻情報や利用者固有の鍵を元に行う。
• パスワード生成は、共通の鍵を元に行う。
• スマートフォンのソフトウェアでハスワード発生器の機能を実装する。
• サーバ側で生成したパスワードを、あらかじめ登録しておいた信頼できる電話番号へのメールやSMS、音声メッセージでユーザに通知する。

ワンタイムパスワードの種類 †

TOTP †

• Time-based One Time Password
• RFC6238
• 「TOTP」参照

HOTP †

• HMAC-based One Time Password
• RFC4226
• 「HOTP」参照

ワンタイムパスワードの実現方式 †

チャレンジレスポンス方式 †

• 「チャレンジ・レスポンス認証」参照

S/Key方式 †

• 「チャレンジ・レスポンス認証」参照

トークン(携帯認証装置) †

• 専用のパスワード生成システム(トークン)を使って行う方式
• 時刻同期式
  • タイムシンクロナス方式
  • サーバとクライアントで時間の同期をとり、日時とPIN(ユーザの個人識別番号)を使ってワンタイムパスワードを生成する。

トークンデバイス †

• Gemaltoトークン

関連サイト †

• ワンタイム・パスワード - WikiPedia
  https://ja.wikipedia.org/wiki/%E3%83%AF%E3%83%B3%E3%82%BF%E3%82%A4%E3%83%A0%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89

• SMS認証の仕組みと危険性、「TOTP」とは？　「所有物認証」のハナシ (2019/4/8) - ITmedia
  https://www.itmedia.co.jp/news/articles/1904/08/news026.html

• ワンタイムパスワードジェネレータを作った (2015/5/6) - ぶていのログでぶログ
  https://tech.buty4649.net/entry/2015/05/06/%E3%83%AF%E3%83%B3%E3%82%BF%E3%82%A4%E3%83%A0%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%82%B8%E3%82%A7%E3%83%8D%E3%83%AC%E3%83%BC%E3%82%BF%E3%82%92%E4%BD%9C%E3%81%A3%E3%81%9F

• 第508回　Ubuntuでコマンドラインからワンタイムパスワードを扱う - Gihyo.jp
  https://gihyo.jp/admin/serial/01/ubuntu-recipe/0508

関連用語 †

• フィッシング
• セキュリティ
• 認証
• パスワード
• パスワード認証
• 認証アプリ
• S/Key
• OATH (initiative for Open AuTHentication)