よくある質問・用語集

サーバー構築のデージーネットTOP > OSS情報 > よくある質問・用語集 > 用語集 > ワンタイムパスワード(OTP)とは

  • もっと調べる
  • どうやって使う?

ワンタイムパスワード(OTP)とは

ワンタイムパスワードとは、一度限り有効なパスワードのことです。One Time Passwordの頭文字をとって「OTP」とも呼ばれます。一時的にしか利用できないパスワードを使うことで、よりセキュアな認証システムを構築することができます。

ワンタイムパスワード(OTP)認証の仕組み

ワンタイムパスワード(OTP)認証の仕組みには、以下の方法があります。

  • 時刻同期型
  • チャレンジ・レスポンス型
  • メッセージ型

時刻同期型のワンタイムパスワード(OTP)

サーバとクライアントが、同じアルゴリズムで生成したパスワードを使って認証を行う方法です。パスワードは、ユーザ固有の情報と現在時刻を使って生成されます。生成したパスワードは、時間が経過すると利用不能になるため、ワンタイムパスワード(OTP)であることが保証されます。この方法では、パスワード生成器であるトークンが必要になります。トークンには、ソフトウェアトークンとハードウェアトークンがあります。最近では、スマートフォンのアプリ上で動作するソフトウェアトークンの利用が増えています。

チャレンジ・レスポンス型のワンタイムパスワード(OTP)

認証を行うときに、あらかじめ登録されているユーザ固有の情報と、サーバが発行したランダムな数値(チャレンジコード)を使って認証を行う方法です。サーバが、必ず異なるチャレンジコードを発行することで、ワンタイムパスワード(OTP)であることを保証することができます。

メッセージ型のワンタイムパスワード(OTP)

サーバがランダムに発行したパスワードをユーザに送り、それを使って認証を行う方法です。この方法はパスワードだけでなく、ワンタイムなURLの生成などでもよく利用されます。

ワンタイムパスワード(OTP)を実装するOSS

Google Authenticatorアプリのトークン

ワンタイムパスワード(OTP)を実装するOSSとして、GoogleAuthenticatorがあります。GoogleAuthenticatorは、ワンタイムパスワード(OTP)のソフトウェアトークンと、サーバ側での検証の仕組みを提供します。

ワンタイムパスワード(OTP)の実装と事例

ワンタイムパスワード(OTP)には様々な実装がある。特に、時刻同期型の製品として販売されていたSecureIDは、様々な企業に導入された。また、現在でも一部のネットバンクなどでも採用されている。

こうした時刻同期型のワンタイムパスワードの技術は、特許が取得されていた。しかし、この特許の期限が到来し、2011年にはRFC 6238として標準化された。そのため、現在ではオープンソースソフトウェアでの実装が広く普及している。また、スマートフォンの普及により、ワンタイムパスワードのトークン(生成器)もアプリで提供されることが多くなっている。

Google Authenticator~ワンタイムパスワード(OTP)のOSS

Google Authenticatorは、RFC 6238に準拠した代表的なワンタイムパスワード(OSS)のオープンソースソフトウェアである。Googleが開発し、同社の各種サービスで利用可能である。また、仕組みが公開されているため、他の企業や個人が自由に利用することができる。

Google Authenticatorでは、トークンはiPhoneやAndroidのアプリとして提供される。Google Authenticatorのサーバ側で発行したQRコードを読み取り、鍵情報をアプリに登録することで利用可能になる。

ワンタイムパスワード(OTP)のシステム連携

Google Authenticatorとシステムをうまく連携させることで、様々なシステムと連携が可能である。ここでは、いくつかの事例を紹介する。

VPNやWifiの認証でワンタイムパスワード(OTP)を利用する

Google AuthenticatorをFreeRadiusと連携させることで、VPN装置にワンタイムパスワード(OTP)認証を導入した事例である。この事例のように、Radiusプロトコルをサポートしたネットワーク機器では、すべてワンタイムパスワード(OTP)認証を導入することができる。

Webメールでワンタイムパスワード(OTP)を利用する

WebメールのソフトウェアであるRoundcubeでは、Google Authenticatorによる認証のプラグインモジュールを提供している。このモジュールを使うと、組織外からメールを読むときに、ワンタイムパスワード(OTP)認証を実施することができる。

シングルサインオンでワンタイムパスワード(OTP)を利用する

シングルサインオンのソフトウェアであるOpenAMkeycloakは、ワンタイムパスワード(OTP)による認証をサポートしている。デージーネットでも、OpenAMの商用サポート版であるKAMOME SSOを利用して、ワンタイムパスワード(OTP)認証を実装するシステムを構築した事例がある。

ネットサービスでワンタイムパスワード(OTP)を利用する

SaaS型で提供されているネットサービスでは、SAMLやOpenID Connectなどの外部認証に対応しているサービスが多い。OpenAMkeycloakは、SAMLやOpenID ConnectのIdPとして動作することができるため、これらのソフトウェアと連携することで、独自にワンタイムパスワード認証を導入することができる。

ワンタイムパスワード(OTP)に対するデージーネットの取り組み

デージーネットでは、FreeRadiusとGoogleAuthenticatorを組み合わせてワンタイムパスワード(OTP)に対応したRadiusサーバの構築を行っています。また、デージーネットで構築したワンタイムパスワード(OTP)に対応した認証サーバは導入後支援サポートを受けることができます。

【カテゴリ】:セキュリティ  認証  

  • もっと調べる
  • どうやって使う?

関連用語

ワンタイムパスワード(OTP)に関連するページ(事例など)


デージーネット用語集のページです。「ワンタイムパスワード(OTP)」という用語と関連情報について説明します。「ワンタイムパスワード(OTP)」について情報を収集する際、サービスをご検討いただく際などに用語集ページをお役立てください。

ワンタイムパスワード(OTP)とは先頭へ