ワンタイムパスワード(OTP)とは何ですか?
ワンタイムパスワード(OTP)は、単一のトランザクションまたはログインセッションでユーザーを認証するために、自動的に生成された数値または英数字の文字列です。
OTPは静的パスワード、特にユーザーが作成したパスワードよりも安全であり、複数のアカウント間で弱くなったり再利用されたりする可能性があります。
Otpは、認証ログイン情報を置き換えるか、それに加えて別のセキュリティ層を追加するために使用される可能性があります。
ワンタイムパスワードの例
OTPセキュリティトークンは、マイクロプロセッサベースのスマートカードまたはポケットサイズのキーフォブで、システムまたはトラ このシークレットコードは、トークンの構成方法に応じて、30秒または60秒ごとに変更されます。
Google Authenticatorなどのモバイルデバイスアプリは、トークンデバイスとPINに依存して、ツーステップ検証用のワンタイムパスワードを生成します。
otpセキュリティトークンは、ハードウェア、ソフトウェア、またはオンデマンドを使用して実装できます。 静的なままであるか、30日から60日ごとに期限切れになる従来のパスワードとは異なり、ワンタイムパスワードは一つのトランザクションまたはログイ
ワンタイムパスワードの取得方法
認証されていないユーザーがシステムにアクセスしたり、デバイスでトランザクションを実行しようとすると、ネットワー スマートカードまたはデバイスのセキュリティトークンでは、ワンタイムパスワードとユーザーを照合して検証するために、同じ番号とアルゴリズムが使用され
多くの企業は、第二の認証要素のためのテキストを介して一時的なパスコードを提供するためにショートメッセージサービス(SMS)を使用しています。 一時的なパスコードは、ユーザーがネットワーク情報システムやトランザクション指向のwebアプリケーション上で自分のユーザー名とパスワードを入力した後、携帯電話の通信を介して帯域外に取得されます。
二要素認証(2FA)の場合、ユーザーは自分のユーザー ID、従来のパスワード、および一時的なパスコードを入力して、アカウントまたはシステムにアクセスします。
ワンタイムパスワードの仕組み
OTPベースの認証方法では、ユーザーのOTPアプリと認証サーバーは共有秘密に依存しています。
ワンタイムパスワードの値は、Hashed Message Authentication Code(HMAC)アルゴリズムと、time-based information(TOTP)やevent counter(HOTP)などの移動係数を使用して生成されます。
OTP値には、セキュリティを強化するために分または秒のタイムスタンプがあります。 ワンタイムパスワードは、SMSベースのテキストメッセージ、電子メール、エンドポイント上の専用アプリケーションなど、複数のチャネルを介してユーザーに配信で
セキュリティ専門家は、ワンタイムパスワードに依存する2FAシステムを破壊するために、SMSメッセージのスプーフィングと中間者(MITM)攻撃が使用できるこ しかし、米国 National Institute of Standards and Technology(NIST)は、2FAおよびワンタイムパスワードのSMSの使用を廃止する計画を発表しました。 その結果、ワンタイムパスワードの導入を検討している企業は、SMS以外の配信方法を検討する必要があります。
ワンタイムパスワードの利点
ワンタイムパスワードは、IT管理者やセキュリティ管理者がパスワードセキュリティで直面する一般的な落とし穴を回避 彼らは、構成ルール、既知の悪いパスワードと弱いパスワード、資格情報の共有、または複数のアカウントとシステムでの同じパスワードの再利用について心配する必要はありません。
ワンタイムパスワードのもう一つの利点は、数分で無効になり、攻撃者が秘密のコードを取得して再利用することを防ぐことです。