はじめに
皆さん、こんにちは。
GetOTPというワンタイムパスワードを簡単にできちゃうAPIサービスを運営しているラロカラボのイクバルです。
このあいだ、皆さんにGetOTPを発表する機会があったのだが、冒頭で「OTP」(オーティーピーと言う) と言ったら、「因みにOTPって何だ?」という質問がありました。
近年、スマホにアプリのインストールときや、どっかのウェブサービスにログインする際でもOTP認証が必須になってきてることから既に浸透しているのかなと思ったが、個人的にこの質問はちょっと意外だったので、OTPの簡単な説明をしたいと思います。
こちらのワンタイムパスワードまたはワンタイムピン(OTP)のGetOTPのブログ記事を元に書いておきます。
OTP(ワンタイムパスワードまたはワンタイムピン)とは何だ?
ワンタイムパスワードまたはワンタイムピンというのは、ランダムに作成され、1つのセッションまたはトランザクションに対してのみ有効なコードです。このワンタイムPINは通常、電話でSMSとして送信されますが、電子メールまたは電話でも送信することもできます。
と、それだけです。
二段階認証では一般的に使用される
OTPは、セキュリティの追加レイヤーを提供するために、二段階認証、2要素認証または2FAでよく使用されます。このセキュリティ層は、「知っている」もの(PIN自体)だけはなく、「持っている」もの(携帯電話など)を追加することで実現されます。2つの要素にできてることから、「2要素認証」と呼ぶわけです。
再利用に対して脆弱持ってない
OTPのPINは1回の使用またはログインに対してのみ有効であるため、通常のパスワードのように脆弱ではありません。OTPを使用してサービスにログインした場合、そのOTPは役に立たなくなり、後でそのOTPが盗まれたとしてもセキュリティの問題にはなりません。
また、一般的にOTPは一定期間しか使用できないため、使用前に誰かがあなたのOTPを知っていたとしても、そのワンタイムピンの有効時間が経過していれば、アカウントのセキュリティには影響しません。
OTPは異なるサイト間でも使用されないため、パスワードを使用する1つのサービスでアカウントが侵害された場合でも、OTPを介してログインしたアカウントは影響を受けません。
配信の多くのチャネル(配信方法)
OTPを配信する方法はいくつかあります。物理トークンと携帯電話を使用する、最も一般的でおそらく安全な2つの方法です。今は携帯電話を持つこと非常に一般的であり、ほとんどすべての携帯電話がSMSまたは電話のいずれかを対応できるため、OTPを配信するためにSMSまたは音声のいずれかを介して携帯電話を使用することは論理的なステップです。最近では、携帯電話でメールをチェックすることもできるので、OTPをメールで送信することも実行可能なオプションになりつつあります。
まとめ
最新のスマートフォンを使用してワンタイムPINコードを配信することは、デバイスに既に精通しているエンドユーザーの両方にメリットをもたらしますが、企業にとっては、顧客に適切なデバイスを提供する必要がないため、運用コストも削減されます。
LaLoka Labs(ラロカラボ)とは
https://lalokalabs.co
LaLoka Labsは、人々が時間とお金を節約し、人間をより幸せにするのに役立つソフトウェアを作ります。