ID とアクセス
ワンタイムパスワード (OTP)
別称: OTP, ワンタイムパスコード
定義
1 回のログインまたは短い時間枠の間だけ有効な短い数字コード。通常は第 2 認証要素として使われる。
ワンタイムパスワード (OTP) は一度しか使えない資格情報であり、いったん使用されればたとえ盗まれても攻撃者には役立ちません。OTP は認証器(モバイルアプリ、ハードウェアトークン)とサーバーで共有されたアルゴリズムで生成され、HOTP はイベントカウンタ、TOTP は現在時刻、チャレンジレスポンス OTP はサーバー発行のチャレンジを利用します。配送経路には認証アプリ、ハードウェアトークン、SMS、メールが含まれます。OTP は静的パスワードに比べて認証強度を高めますが、リバースプロキシによるリアルタイムフィッシングには依然として弱く、重要なアカウントには FIDO2 などフィッシング耐性のある方式を優先すべきです。
例
- Google Authenticator が 30 秒ごとに表示する 6 桁の TOTP コード。
- 銀行振込を承認するために送信されるワンタイムコード付き SMS。
関連用語
時間ベースのワンタイムパスワード (TOTP)
RFC 6238 で定義され、共有秘密と現在時刻から短いコードを導出して 30 秒ごとに更新するワンタイムパスワードアルゴリズム。
HMAC ベースのワンタイムパスワード (HOTP)
RFC 4226 で定義され、共有秘密と単調増加するカウンタから短いコードを導出するイベント型のワンタイムパスワードアルゴリズム。
多要素認証 (MFA)
アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。
二要素認証 (2FA)
本人確認のために、通常はパスワードに加えてもう 1 つの要素を必要とする、ちょうど 2 要素の多要素認証。
認証
アクセス権を与える前に、利用者・端末・サービスが本当に名乗っているとおりの実体であることを確認するプロセス。
Passkey
Passkey — definition coming soon.