WEBサービスやアプリでの新規登録時、情報変更時、入金手続きなどを行う際、通常のIDとパスワードに加え、ワンタイムパスワードを追加することで、セキュリティを高めた利用ができるようにしている企業が増えています。
セキュリティ強化になぜワンタイムパスワードが利用されてるのか、ワンタイムパスワードの仕組み、ワンタイムパスワードをユーザーに伝える手段として目にすることが増えたSMSでの通知についてご紹介します。
※SMS(ショートメール)とは携帯電話番号を宛先としてメッセージを送ることが出来るサービスです。
目次
ワンタイムパスワードって何?
ワンタイムパスワードは「1度しか使えない使い捨てのパスワード」です。
※1度利用したパスワードは再度利用することはできません。
なぜワンタイムパスワードが必要なの?
なぜワンタイムパスワードが必要なのでしょうか。
メリットとしてセキュリティが向上することがあげられます。
これまでは固定のIDとパスワードでサービスにログインするのが一般的でした。
しかし、IDとパスワードが流失してしまった場合、 不正ログインされてしまう危険性がありました。
そこでログイン時にワンタイムパスワードの認証を追加してセキュリティを向上させます。
固定のIDとパスワードが流出してしまった場合でも、ワンタイムパスワードがなければサービスにログインできなくなり、不正ログインを防止することができるのです。
また、ワンタイムパスワードが漏れてしまった場合でも、認証の度にパスワードが変わるため、悪意のある第3者が利用しようとしてもそのパスワードを利用することはできません。
金融機関での導入が進んでいますが、現在では電子決済、オンラインショッピングやゲームなど様々なサービスの登録内容を変更する際に使われているので、目にした方は多いのではないでしょうか。
ワンタイムパスワードの利用シーン
では実際にワンタイムパスワードはどのような場面で利用されているのでしょうか。利用例をご紹介します。
- ・インターネットバンキング利用時
- ・会員登録時の本人確認として
- ・ID、パスワード忘れ、登録内容変更時
個人情報を取り扱うようなサービスの利用時に登録者本人であることを確認し、確実に登録者に情報を届けるためなどに利用されます。
アクセスする度、利用する度に異なるパスワードの入力を求めるようにすることで
万が一、ID、パスワード情報が漏洩してしまった場合でも本人以外がサイトにアクセスすることはできないため、不正利用のリスクを低減できます。
ワンタイムパスワードの仕組み
ワンタイムパスワードで利用されている代表的な仕組みには
・チャレンジレスポンス方式
・タイムスタンプ方式
の2種類があります。
チャレンジレスポンス方式
チャレンジレスポンス方式とは
ユーザーが認証ページにアクセスすると認証サーバーから文字例(チャレンジ)を送信します。
ユーザー側は指定された計算をおこないレスポンスをサーバーに返します。
認証サーバーは送られたレスポンスをもとに認証をおこないます。
毎回異なるチャレンジを送ることで、レスポンスも異なるため
ワンタイムパスワードとして利用することができます。
タイムスタンプ方式(時刻同期)
一定時間ごとにパスワードが変わります。
ハードウェアトークン、ソフトウェアトークンはこちらに分類されます。
※カード、キーホルダーのような形をしたものにパスワードを表示する液晶がつきた機器になります。
ユーザーに配布した小型のデバイスにワンタイムパスワードを表示させ、本人認証をおこないます。
認証サーバーはどのユーザーがどのトークンを利用していて、時刻ごとにどのような数字が表示されるかの情報を持っており、
その情報をもとに認証をします。
注意点としてトークンと認証サーバーと時間がずれている場合は認証されないため、時刻を同期させる必要があります。
ワンタイムパスワードの通知方法
ワンタイムパスワードの通知方法には以下のような方法があります。
お客様システムからhttpsでfonfunSMSのシステムへSMS送信をリクエストしていただくことで、お客様システムから、SMSを送信することができます。
ハードウェアトークン
専用のデバイス(機器)にワンタイムパスワードが表示されます。
金融機関などのオンラインバンキングでよく使われている方法です。
ソフトウェアトークン
スマートフォンのアプリにワンタイムパスワードを表示する方法です。
トークンのように専用のデバイスを使わずに、手元のスマートフォンを利用できます。
メール
登録したメールアドレス宛にワンタイムパスワードを送信する方法です。
フリーメールアドレスを宛先に利用している場合、盗み見られる可能性もあるため、フリーアドレスではない信頼できるメールアドレスを利用すると安心です。
SMS(ショートメール)
登録された携帯電話番号宛にワンタイムパスワードを送信する方法です。
SMS(ショートメール)を利用したワンタイムパスワード
登録された携帯電話番号宛にワンタイムパスワードを送信する方法です。
実際の携帯電話番号宛に届くのでメールよりもセキュリティが高く、本人確認で用いられることが多いです。
SMSを通知に利用するメリットとして
・携帯電話1台につき電話番号はひとつであるため、本人に確実にメッセージ(認証コード)を送れる
・端末に標準的に搭載されている機能のため、電話やメールのように誰でも使える
があります。
メールを利用した通知方法もありますが、メールの情報が漏れてしまった場合は不正利用される危険性があります。
メールはPC、スマホなどの携帯端末のどちらからでも利用でき便利ですが、利用には注意が必要です。
SMS(ショートメール)でワンタイムパスワードを送信するには
SMSでワンタイムパスワードを送信するためには、API連携が可能なSMS送信サービスを選ぶようにしましょう。
APIを利用すると自社のシステムにSMS送信機能を組み込むことができます。
ただAPI連携可能なSMSサービスの中にはワンタイムパスワードの機能がついていないものもあるため、契約前によく確認しておく必要があります。
APIについては「APIでのSMS(ショートメール)送信について」で更に詳しく説明しています。
SMS配信サービス「fonfunSMS」のご紹介
SMS配信サービス「fonfunSMS」ではAPI送信の機能のひとつとして、ワンタイムパスワード発行してSMSを送信する機能を提供しています。
パスワード生成や認証機能を別途開発することなく、素早くSMS認証を実装することができます。
fonfunSMSは導入前にAPI接続によるSMS送信テストが可能です。
試してみたい方はお気軽にお問合せください。
APIに関する資料やテスト送信に関して電話、メール、WEB会議でのご説明を承っております。
SMS送信サービス「fonfunSMS」のご紹介
簡単・確実にメッセージを届ける!
サポート充実のSMS送信サービス
個別・一斉送信/長文送信/API連携 対応
WEBページ作成機能でクーポン配信や詳細案内ができる
専属担当者がSMS活用をサポート!導入もスムーズ
安定の国内網で到達率99.9%!確実にアプローチ
サービス資料と12社の活用例をまとめた事例集
必要事項を入力して送信してください。担当より資料をお送りします。