ワンタイムパスワードまたはOTPは、一度だけ有効なパスワードです。 OTPは、セキュリティを強化し、強力な認証をサポートするために使用できます。 この記事では、Otpの基本と実装方法について説明します。
今日、ほとんどの企業ネットワークは、個人情報や機密データにアクセスするためにユーザー名と静的パスワードのみを必要とします。 このタイプの単一要素認証は非常に便利ですが、現代の世界ではあまり安全ではありません。 ほとんどの人は、彼らがすべてのオンラインアカウントに一意のパスワードを使用する必要があることを理解しています。 しかし、私たちの69%はとにかく同じパスワードを使用しています。
さらに、47%の人が5歳以上のパスワードを使用しており、最も一般的に使用されるパスワードは”123456″であり、驚異的な17%の人が使用しています。 さらに悪いことに、目を見張る95%の人々が友人と最大6つのパスワードを共有しています。
あなたのエンドユーザーがパスワードに優れていても(彼らはすべてのオンラインアカウントに異なる強力なパスワードを使用し、どこにも書き留めない)、マルウェアやman-in-the-middle攻撃によって危険にさらされる可能性があります。 では、パスワードの衛生状態の悪さや電子盗聴から、自分自身と会社の最も貴重な資産をどのように保護していますか? 一つの方法は、”ワンタイムパスワード”を使用することです-有効な”一度だけ”である使い捨てのパスワード。
ワンタイムパスワードとは何ですか?
ワンタイムパスワードは、一つのログインセッションまたはトランザクションに対してのみ有効なパスワードであるため、様々なパスワードベースの攻撃、特にパスワードスニッフィングやリプレイ攻撃に対する保護を提供します。 通常、OTPは、自動的に生成される一連の数値または文字です。
このシステムが動作するためには、パスワードが使用されるたびに変更されなければなりませんが、絶えず変化するパスワード、使用されているコンピ この同期は、電子メールなどの安全でない方法を介してデータを送信せずに行う必要もあります。
ワンタイムパスワードはどのように同期されますか?
ワンタイムパスワードは、いくつかの方法で生成することができ、それぞれがセキュリティ、利便性、コストの観点からトレードオフを持っています。
時刻同期
ワンタイムパスワードを生成する方法の1つに、時刻同期を使用する方法があります。 各ユーザーには個人用のトークン(小さな電卓やキーチェーンのように見えるかもしれません)があり、時折変化する数字を表示するディスプレイがあります。 パーソナルトークンの内部には、独自の認証サーバー上のクロックと同期されたクロックがあります。 デバイスとアプリケーションサーバーの両方が、現在の時刻の数値バージョンに基づいて新しいOtpを生成します。
時刻同期パスワードは必ずしも完全に一致する必要はなく、通常は古いパスワードまたは新しいパスワードが受け入れられるウィンドウがあります。 これは、OTPの読み取りと入力に人間が少し時間がかかるため、たとえば、パスワードが無効になる前にパスワードを入力するのに十分な時間がないため、
パスワード自体は通常、現在の時間のハッシュです-例えば、16.43は1643になり、コードジェネレータとハッシュ関数(またはハッシュコード)と呼ばれる数学的プロセ
新しいパスワードの生成は’現在の時刻’に基づいているため、時間はパスワードアルゴリズムの重要な部分です。 クロックがステップから遠すぎると、トークンは正しいパスワードを生成せず、リセットする必要があります。 異なるタイムゾーンの問題を回避するために、協定世界時であるUnixタイムスタンプを使用することができます。
Lock-step
第二の方法は、コンピュータシステムと同じ共有番号(シードと呼ばれる)で始まるトークンを含みます。 新しいパスワードが生成されるたびに、トークンデバイスは独自の内部カウンタを増分し、実際にログインするたびに、サーバーもカウンタを増分します。
使用されていないパスワードを生成することでステップから抜け出すことができ、トークン内のカウンタがアプリケーションサーバー上のカウンタよりも ただし、許容値は通常、物事が少し同期しなくなるように作成され、サーバーは(通常)ステップ外になった場合に自動的に再同期します。
このOTP技術はロックステップまたはカウンタ同期と呼ばれ、独自のハードウェアが依然として必要ですが、クロックを時間内に保持しなければならないという欠点はありません。
伝送ベースのOTP
第三のアプローチは完全に異なっています。 二つのデバイスが独自のパスワードを独立して責任を負うのではなく(有効性のために比較される)、パスワードは認証サーバーによってランダムに生成され このパスワードは完全にランダムであるため、トークンデバイスが自動的にステップにとどまることはできないため、OTPをエンドユーザーに積極的に伝達す
これらのタイプの使い捨てパスワードは、テキストメッセージで最も一般的に送信されるため、”SMS-OTP”と呼ばれることがよくありますが、アプリやハンドヘルド電子機器(セキュリティートークンと呼ばれる)によって生成されたり、場合によっては印刷されて郵便で送信されたりすることもあります。 認証する場合は、システムからパスワードが送信され、パスワードを使用してログインします。 この方法の大きな利点の1つは、独自のハードウェアを提供および維持する必要がないことです。
ワンタイムパスワードはどのように送信されますか?
ワンタイムパスワードは、いくつかの方法でエンドユーザーに伝えることができ、それぞれがセキュリティ、利便性、コ
SMSメッセージによるワンタイムパスワード
この方法には、信頼性の高い高品質のSMSサービスが必要です。 ユーザーがログイン中に正しいユーザー名とパスワードを完了すると、OTPを含むテキストメッセージがトリガーされ、ユーザーのアカウントに登録されている携帯電話 その後、ユーザーはSMSメッセージに表示されたコードをアプリケーションのログイン画面に入力して認証プロセスを完了します。 エンドユーザーは、通常、パスワードの有効期限が切れる前に一定の期間を許可されます。
音声によるワンタイムパスワード
SMSの代わりに、既存の固定電話または携帯電話を使用して、ユーザーの固定電話または携帯電話番号に電話として話し この方法の利点は、パスワードがユーザーの電話に保存されないことに加えて、限られた視界でユーザーに到達することができることです。 ただし、このソリューションに関連する使用量あたりのコストがあり、機能するには既に確立された固定電話または携帯電話番号が必要です。
パスワードも短い文字列に制限されています。
電子メールによるワンタイムパスワード
電子メールアカウントがユーザーアカウントと一緒に登録されている場合、ログイン中に認証のために電子メールア ワンタイムパスワードの電子メール配信は費用対効果の高いオプションですが、セキュリティと使いやすさが犠牲になる可能性があります。 電子メールは、それが今のように私たちのデジタル生活の中心であることを意図していなかったので、それは心の中で任意のセキュリティやプライバ
すべてのサイバー攻撃の91%は電子メールで始まり、それは二要素認証のための最も安全な方法です。 また、電子メールアカウントへの一貫したアクセス権を持つユーザーにも依存します。 ユーザーは、OTPにアクセスするために電子メールアカウントにアクセスしようとすると、パスワードリセット要求やタイムアウトが発生することもあ
ポスト経由のワンタイムパスワード
メールベースのシステムは、他のメッセージングシステムと本質的に同じように動作しますが、パスワードはエンドユー したがって、パスワードの有効性は、転送中の遅延を可能にするために拡張されます。 一部の銀行は、ビジネスバンキングで使用するために、ワンタイムパスワード(トランザクション認証番号またはTanと呼ばれる)の長い印刷されたリストを 銀行は、そのコンピュータシステムに保存されたパスワードの一致するリストを持っており、パスワードは一致を確実にするために順番に使用されなけ
リストと番号グリッドは、Otpのための費用対効果の高いソリューションを提供しますが、それらは遅く、あまりユーザーフレンドリーではありません。 ユーザーは、多くの場合、順番に使用されなければならないパスワードのリストを維持する必要があり、加えて、パスワードのリストがコピーされたり、間違った手に落ちた場合、それらの誰かがすべてのパスワードを持っています。
プッシュ通知によるワンタイムパスワード
プッシュ通知によるワンタイムパスワードはSMSベースのワンタイムパスワードに似ていますが、今回は自動生成されたパスワードがユーザーのデバイス上のアプリにプッシュ通知として送信されます。 プッシュ通知がアプリに送信されると、ユーザーはコードをログイン画面にコピーして身元を確認します。 プッシュ通知は、既存のデバイス(ユーザーのモバイルデバイスなど)を使用し、SMSメッセージングのコストが発生しないため、最も費用対効果の高いソリ
それはまた、最も安全なソリューションの一つであり、そのユーザーフレンドリーです。 現代の携帯電話では、生体認証スキャン(指紋スキャンなど)などの第三の認証要素を含めることもでき、本当に厳しいセキュリティを確保できます。 欠点は、あまりにもかなり最小限である-プッシュ通知は、専用のアプリを必要とし、アプリケーションへのアクセスは、携帯電話の損失の対象となりま
ハイブリッドワンタイムパスワード(両方の長所)
SMSとプッシュメッセージングの強みを組み合わせて、ハイブリッドシステムを使用することができます。 パスワードは、最初は高速かつ費用対効果の高いプッシュ通知によって送信されますが、ユーザーがアプリをインストールしていないか、オフラインの場合、パ また、プッシュとSMSが何らかの理由で失敗した場合、音声経由で配信パスワードを持つ第三のフォールバックオプションを追加することができます。
デフォルトのパスワード配信方法は、コストを抑える上で最も効果的なものであれば何でもかまいませんが、ハイブリッドソリューションを使用することで、ユーザーが常にアプリにアクセスできるようになり、アプリのエンゲージメントが向上します。
OTPは優れたセキュリティと強力な認証を提供できます。
結論
平均的なビジネスユーザーは191のパスワードを持ち、一日あたり平均8つの異なるパスワードを入力します。 多くの場合、エンドユーザーは複数のアカウントで同じパスワードを使用したり、ポストイットメモにパスワードを書き留めたり、パスワードリセット要求でITヘルプデスクに衝撃を与えたりします。平均して、パスワードリセット要求はすべてのITヘルプデスクコールの10%から30%を占めています。
二要素認証は、企業データをサイバー犯罪や不正行為から保護する上で特に重要です。 Otpが対処する最も重要な利点は、静的パスワードとは対照的に、リプレイ攻撃に対して脆弱ではないことです。
二要素認証(ワンタイムパスワードの形式)は、別の動的資格情報を追加することによって、従来のユーザー IDと静的パスワードシステムを強化します。 ユーザーがすべてのシステムで同じ(または類似の)パスワードを使用している場合でも、両方のセキュリティ層がハッカーによって侵害される可能性は低い
また、第三の利用可能な要因があります。 指紋、網膜スキャン、声紋、顔認識など、セキュリティの別の層を追加するために使用することができます。 認証に必要な要素が多いほど、システムの安全性が高くなります。
2020年末までのオンライン決済の要件であるStrong Customer Authentication(SCA)に関するガイドはこちらをクリックしてください。
欠点は、強力なワンタイムパスワードは人間が記憶することが困難であるため、機能するためには追加の技術が必要です。 ロックステップまたはカウンター同期に依存するOTPシステムの場合、パスワードジェネレータは、電子トークンがサーバーと同期していない状況に対処する必 一方、時間同期システムは、電子トークン内のクロック(およびクロックドリフトを考慮するためのオフセット値)を維持することを犠牲にしてこれを避
最も安価な(そして最良の)ソリューションは、独自のハードウェアに関連するコストなしにOtpを提供するものです。 手動で生成されたリストや番号グリッドなどの単純な方法は、低コストのソリューションを提供しますが、それらは遅く、保守が困難です。 ユーザーは、パスワードのリストを持ち歩き、リスト内のどこにいるかを追跡する必要があります。
さらに、リストが間違った手に落ちた場合、誰かがあなたのすべてのパスワードを持っています。 したがって、最良の解決策は、既存のデバイス(携帯電話など)を使用し、SMSメッセージング(プッシュ通知など)に関連するコストなしにワンタイムパスワードを
パスワード共有に関する私たちの考えを読むにはここをクリックしてください(私たちはあなたもこれの罪を知っています!)
企業データを安全に保つためには、強力な二要素認証または多要素認証のための安全なワンタイムパスワードを生成する方法を知る必要があります。 また、作成したシステムが攻撃に対して脆弱にならないように、ワンタイムパスワードをクライアントまたは従業員に配布する方法を知る必要があ 10dukeのようなセキュリティ専門家に相談して、従業員とアプリケーションを安全に保つために、安全な二要素認証または多要素認証を実装する方法を