ワンタイムパスワード

ワンタイム パスワードとは、コンピュータ システムへのアクセス用に発行される、1回限り有効なパスワードのことです。

従来の固定的なパスワードは、いったん第三者に漏洩してしまうと、不正アクセスに利用される危険性が生じます。パスワードの漏洩は、通信経路での盗聴、長い時間をかけた総当り型の試行等、複数の理由で発生する可能性があり、正規ユーザが知らないうちに漏洩しているケースも少なくありません。これに対し、1回限りのワンタイム パスワードは、2回目以降は使えないため、漏洩による不正アクセスをの危険性を防止しやすくなります。高いセキュリティが求められるオンライン バンキングや、Web型メール アプリケーション、オンライン ゲーム等で活用されています。

ワンタイム パスワードの実現方法としては、以前は専用のハードウェア トークンを使用するのが一般的でした。このハードウェア トークンは、アクセス先のシステムと時刻合わせを行い、一定時間ごとに新しい番号（ワンタイム パスワード）を生成します。システムの利用者はアクセス時にこのトークンを起動し、表示されたワンタイム パスワードを、ログイン時のパスワードに使用します。このような手法を一般に「時刻同期型ワンタイム パスワード」と言います。

これに対して最近利用が広がっているのが、「チャレンジ＆レスポンス型ワンタイム パスワード」と呼ばれる手法です。その代表例が、スマートフォンを活用したものです。

この認証方法では、利用者はワンタイム パスワードを受け取るためのデバイスとして、自分のスマートフォンを事前にアクセス先のシステムに登録しておきます。利用者がこのシステムにログインする時には、まずユーザIDとパスワードを入力します。これによってスマートフォンに、ワンタイム パスワードが送られてきます。利用者はさらにこのワンタイム パスワードを、ログイン画面に入力します。これでログイン処理が完了し、システムにアクセスできるようになります。ワンタイム パスワードの配信方法としては、SMS（ショート メッセージ）を使う方法やメールで送信する方法、スマートフォンの専用アプリを使う方法等があります。認証を2段階で行うため「2段階認証」、あるいは「2要素認証」と呼ばれることもあります。

F5の「F5 BIG-IP Access Policy Manager（APM）」を利用することで、チャレンジ＆レスポンス型ワンタイム パスワードを導入しやすくなります。