トークンがネット決済の安全を守る!ワンタイムパスワードについても解説

この記事のライター:Y.O

bijin1

近年では、決済を始めとするさまざまな金融サービスがネット上で利用できるようになり、ユーザーにとっての利便性は増しつつありますが、一方で心配されているのがセキュリティの問題です。単純なIDとパスワードだけでは安全性を守り切れないと考えられるようになり、その対策としてワンタイムパスワードの導入が進んでいます。ワンタイムパスワードはトークンと呼ばれる電子機器に表示され、1度しか使えないパスワードが設定された時間間隔(例えば1分)ごとに生成されることでネット決済の安全性に一役買っています。ここでは、そんな現在注目されているトークンについて詳しく見ていきましょう。


トークンとは

bijin2

トークン(token)という言葉は英語で、象徴・証拠品・代用貨幣・引替券といった意味を表します。しかし昨今のデジタル社会において、トークンというワードは、さまざまな最新技術に関する用語として使われるようになりました。

例えば最近注目されている「NFT」は非代替性トークン(non-fungible token)を略した言葉です。同様に「STO」はセキュリティ・トークン・オファリング(security token offering)の略で、株式や債券など、有価証券のデジタル化に関連し、2020年5月に施行された改正金融商品取引法では「電子記録移転権利」と規定され、法整備が整ったことで実際の金融機関での取り扱いも可能になりました。
そしてネット決済などユーザー認証の分野においては、ワンタイムパスワードを生成するデバイスをトークンと呼んでいます。

それぞれのトークンの意味を、もう少し詳しく見てみましょう。NFT、非代替性トークンはさまざまなデジタル資産の商品化に利用されています。アートや音楽、スポーツに関するものなど、デジタルアイテムを唯一無二のものだということを証明します。非代替性トークンを可能にしているのは、ブロックチェーン技術。過去には「Twitterに投稿された最初のツイート」が、NFTとしてオークションに出品され、高値を付けて話題となりました。

そして、ここで詳しく解説していくのが、ワンタイムパスワードを生成するデバイスとしてのトークンです。ネットバンキングでの取り引きなどで、すでにワンタイムパスワードを利用したことがある方も多いでしょう。ワンタイムパスワードはコンピュータやインターネットサービスなど、さまざまな場面でのユーザー認証に活用されています。そうしたワンタイムパスワードを表示する機器をトークンと呼び、これにはカード型、キーホルダー型などさまざまなタイプのトークンが存在します。


ワンタイムパスワードとは

bijin2

ワンタイムパスワードとは、ネットサービスを利用する際に発行される、1度に限り有効なパスワードのことです。

bijin2

普段よく利用するネットサービスとしては、インターネットバンキングでの取り引きでワンタイムパスワードを入力することがあります。振り込みなど、お金を移動させる際は本人であることの認証が重要なので、ワンタイムパスワードを使って確実性を高める必要があるのです。そして、そのワンタイムパスワードを生成したり表示したりするデバイスを、トークンと呼びます。

インターネットを使った金融取引で、セキュリティを高めてくれるワンタイムパスワードですが、どんな特徴があるのでしょうか。まず、ワンタイムパスワードでは、パスワードを使用できるのは1度だけです。1度使うともう二度と使えなくなってしまうため、使用後にパスワードを他人に使われる心配はありません。中には使用できる期限が決められているものもあります。生成したワンタイムパスワードが、すぐに使えなくなってしまうため、この点もセキュリティの面では安心です。

・ワンタイムパスワードのタイプ
ワンタイムパスワードの仕組みには、いくつかのタイプがあります。例えば、時刻同期方式(タイムスタンプ認証方式)では、トークンは時間ごとに異なるワンタイムパスワードを生成します。パスワードを受け取る「認証サーバ」では、どのトークンがどの時間にどんなパスワードを生成するか、についての情報が登録されています。そのため、ユーザーがトークンに表示されるワンタイムパスワードを入力すると、認証サーバにより認証されるのです。

もうひとつは、チャレンジレスポンス認証方式です。ユーザーはまず、認証サーバに対してアクセスしたいという要求を送ります。これに対して認証サーバからは、ランダムな文字列が送られてきます。ユーザーがトークンに文字列を入力すると、それをもとにトークンが計算した後ワンタイムパスワードを生成、ユーザーはそのパスワードを入力して送信します。認証サーバ側でも同じ計算が行われているため、一致すれば認証成功となるわけです。




トークンの重要性と安全性

bijin2

ユーザーの認証に必要なワンタイムパスワードを生成し表示するトークン。その重要性と安全性について考えてみましょう。通常、インターネットサービスを利用するためには、IDとパスワードを使ってログインします。認証にワンタイムパスワードを必要としない場合、IDとパスワードを盗まれてしまうと、簡単に不正利用されてしまいます。しかしワンタイムパスワードはユーザー本人が持っているトークンに表示されるため、IDとパスワードを盗まれたとしても、それだけでは認証されないのです。

方式によりますが、トークンが生成し表示するワンタイムパスワードは、毎回異なります。さらに、上述したように1度表示されたワンタイムパスワードは、1度しか使えず、使える時間も短く設定されているため、もしワンタイムパスワードが盗まれたとしても、それを第三者が使える可能性は低くなるといえるでしょう。

ただIDとパスワードが盗まれた上に、ワンタイムパスワードを表示するトークンまで盗まれてしまっては困ります。トークンを安全に保管することも、セキュリティのためには重要です。 ・ワンタイムパスワードの弱点





※デイリースタンプGETのボタンはデイリースタンプラリー用のボタンです。1日1回押すことができます。(記事は問いません。)