情報セキュリティマネジメント試験 科目A 重要キーワード解説
ワンタイムパスワード(OTP:One Time Password)とは、一度きり、または短時間だけ有効な使い捨てのパスワードです。毎回異なるパスワードを使うため、たとえ盗み見られても次回には使えず、盗聴やリプレイ攻撃(盗んだ情報の再利用)に強いのが特徴です。
パスワード(知識情報)に加えて、ワンタイムパスワードを生成するトークンやスマホ(所持情報)を組み合わせることで、多要素認証を実現する代表的な手段となっています。
| 方式 | 仕組み |
|---|---|
| 時刻同期方式(TOTP) | 現在時刻をもとに一定時間(例:30秒)ごとにパスワードを生成する。認証アプリで普及。 |
| チャレンジレスポンス方式 | サーバが出す質問(チャレンジ)に、鍵を使って応答(レスポンス)を計算する。 |
| カウンタ同期方式(HOTP) | 使用回数のカウンタをもとに生成する。 |
生成手段には、認証アプリ、ハードウェアトークン、SMS送信などがあります(SMSはSIMスワップ等のリスクがあり、アプリ・ハードウェアの方が安全)。
ネットバンキングのログイン・振込時の確認、各種Webサービスの二段階認証、社内システムへのリモートアクセスなどで広く使われています。パスワードリスト攻撃やブルートフォース攻撃への有効な対策としても重要です。