ワンタイムパスワード（OTP）の基礎知識

OTPは、パスワードにまつわるリスクを軽減します。

忘れてしまったパスワード： OTPの最も一般的な使い方は、ユーザーがパスワードを忘れたり、アカウントに侵入されたりした場合です。 パスワードの再設定を促す前に、ユーザーがアカウントにアクセスするためのOTPが発行されます。

リプレイ攻撃： リプレイ攻撃では、パスワードを含むユーザーのログイン情報が傍受されます。 もし、パスワードが固定であれば、攻撃者はそのユーザーのアカウントにアクセスすることができるようになります。 しかし、OTPを使用する場合、ハッカーに傍受されたパスワードは、ユーザーがアカウントにログインする際に一度使用されたため、もはや有効ではなく、再利用することはできません。

多要素認証： OTPは、認証のレイヤーを追加することができます。 セキュリティトークンを使って、ユーザーが追加認証として提供するOTPを生成することで、セキュリティが向上し、侵害のリスクを減らすことができます。

ハッシュベースOTP（HOTP）： このタイプのOTPは、ハッシュアルゴリズムに基づいて生成され、ユーザーに送信されます。このハッシュアルゴリズムは、ユーザーがアクセスするたびに段階的に変化するカウンターとワンタイムパスワードコードを同期させます。

タイムベースOTP（TOTP）： このタイプのOTPは時間ベースであり、OTPコードが有効な時間枠を設定します。 一般に、タイムステップは30～60秒の長さです。 指定されたタイムステップ内にOTPコードを入力しない場合、ユーザーは新しいOTPコードを要求する必要があります。

OTPはセキュリティトークンを使って安全に生成され、ユーザーに送信されます。

ハードトークン： スマートカード、USBキー、キーレスエントリーシステム、携帯電話、Bluetoothトークンなどは、すべてOTPを生成することが可能です。 ハードトークンは接続型、非接続型、完全非接触型があります。

ソフトトークン： OTPソフトトークンの一般的な形態は、メール、SMS、アプリへのプッシュ通知です。

OTPと2FAの違いは何ですか？

OTPは2FA/MFAの一種として利用できますが、それだけではなく、ログインのたびにOTPを提供する自律的なセキュリティ機構として利用することもできます。 OTPは2FA/MFAの数ある形態の1つに過ぎず、単独でもセキュリティソリューションとして機能するため、これらの用語を同義的に使用するべきではありません。

はい。 OTPは、静的なパスワードに付加的なセキュリティ層を追加するものです。 パスワードは、単体では脆弱な形式のID検証であり、セキュリティ侵害の81％はこれが原因です。 パスワードにもう一つ認証のレイヤーを追加することで、より高いセキュリティを確保することができます。 もちろん、パスワードレスにすれば、パスワードを完全になくすことができます。

はい。 Entrustは、OTPを含む幅広い認証ソリューションを提供しています。

IDおよびアクセス管理（IAM）は、適切なエンティティが適切なタイミングで適切なリソースにアクセスできるようにする、セキュリティポリシーとテクノロジーのフレームワークです。

人またはデバイスをエンティティにすることができます。リソースには、アプリケーション、ネットワーク、インフラストラクチャ、およびデータが含まれます。 IAMは、従業員、消費者、および市民のユースケースに適用できます。

IAMは、信頼できるデジタルIDの確立および維持を前提としています。 IAMを使用すると、組織はエンティティを認証および承認して、適切なリソースへの安全なアクセス権を付与することができます。 その上、状況に応じてステップアップチャレンジを提供する適応型リスクベース認証があれば、 信頼は長期にわたって維持されます。