オンラインバンキングやECサイトでの決済時など、さまざまなシーンで普及しているワンタイムパスワード。その名の通り、一度だけ利用できるパスワードで不正利用を防ぐ効果があります。

本記事ではワンタイムパスワードの仕組みと設定するメリットについて、詳しく解説していきます。また、ニフティのサービス利用者に向けてワンタイムパスワードの設定方法についても紹介しますので、ぜひ参考にしてください。

ワンタイムパスワードの仕組み

ここではワンタイムパスワードの仕組みや利用シーン、種類について詳しくご紹介します。

二段階認証に有効なワンタイムパスワードとは？

ワンタイムパスワードは、一定時間に更新される使い捨てのパスワードを指します。一般的なID・パスワード認証に加えて、二段階認証として採用しているサービスも多く、一度利用したパスワードは使用できません。また時間内に利用しないと無効になるため、不正利用防止に高い効果があります。

ただし、ワンタイムパスワードを発行しても、フィッシングメールなど二段階認証突破を狙う詐欺手口もあるため注意が必要です。

二段階認証突破を狙う詐欺の手口とは？被害にあわないための対策について解説

代表的なワンタイムパスワード利用事例

ワンタイムパスワードの代表的な利用シーンをまとめると以下の通りです。

多くの金融機関、ECサイトでは不正アクセスによる金銭的な被害を防ぐため、ワンタイムパスワードを導入しています。また、近頃はリモートワークの普及に伴い、社内ネットワークへアクセスする際にワンタイムパスワードを導入する企業も増加しています。

 

ワンタイムパスワードの種類

ワンタイムパスワードには4つの種類があります。

トークン

トークンとは、ワンタイムパスワードを発行するための小型の端末です。手のひらサイズであることが多く、電源を入れるとワンタイムパスワードが発行されます。

アプリ

近頃増加してきているのが、スマホアプリを利用したワンタイムパスワードの発行です。アプリをインストールし、ワンタイムパスワードの利用登録をすれば、アプリを開くだけでワンタイムパスワードが確認できます。

メール・SMS

ワンタイムパスワードで代表的なのが、メールアドレスまたは携帯番号宛てにSMSが届く方法です。サーバー側で自動生成されたワンタイムパスワードが、サービス登録時に設定した任意のアドレスに届きます。

電話

ユーザーがワンタイムパスワードの発行処理をすると、電話がかかってきて音声でワンタイムパスワードを再生してくれます。メールやSMSよりも流出の可能性が低いため、セキュリティ性が高くなっています。

 

ワンタイムパスワードの仕組み

さまざまな種類のワンタイムパスワードがありますが、今回は代表的な3種類の認証方式をご紹介します。

チャレンジレスポンス認証方式

チャレンジレスポンス認証方式とは、ユーザーがサーバーへ認証リクエストを行い、求められたレスポンスを生成する方法です。認証リクエストを受けたサーバーは「チャレンジ」と呼ばれるランダムな文字列を生成後、ユーザーへ送信します。ユーザーはあらかじめ設定されている計算式を用いてレスポンスを返信し、サーバーの結果と一致すれば認証されます。

チャレンジが毎回変わるためワンタイムパスワードとして利用されていて、ネットワーク上にパスワードが流出しないという特長があります。

時刻同期方式（タイムスタンプ認証方式）

時刻同期方式（タイムスタンプ認証）は、トークンやスマホアプリを利用する認証方法です。トークンで生成されるワンタイムパスワードは時刻によって異なり、有効時間外のワンタイムパスワードは認証されません。また、トークンはサービス利用時に個別登録が必要なため、同じトークンを別ユーザーとして使用することも出来ません。

アウトオブバンド認証方式

アウトオブバンド認証方式とは、メールやSMS、スマホアプリなどを使用して、都度ワンタイムパスワードを生成する認証方法です。トークンレス認証システムとして近頃採用されている仕組みで、ユーザーが設定したツールを利用してワンタイムパスワードが生成されます。

 

ワンタイムパスワードを設定するメリット

ワンタイムパスワードを設定する主なメリットは次の3つです。

ワンタイムパスワードを設定しておけば、頻繁に複雑なパスワード変更をしていなくてもセキュリティ向上が期待できます。また、ID・パスワードが漏れてしまってもワンタイムパスワードがあれば、パスワードリスト攻撃に遭う可能性も低くなります。

ワンタイムパスワードは一度受信設定をすれば、面倒な操作をせずに高いセキュリティ環境でサービスが利用できます。

 

ワンタイムパスワードのよくある質問

ワンタイムパスワードでよくある質問を3つ紹介します。

 

ワンタイムパスワードを発行するスマホを機種変更したい場合は？

現在ワンタイムパスワード生成のために利用しているスマホを機種変更する場合は、旧スマホで登録を解除する必要があります。旧スマホでワンタイムパスワードアプリの削除もしくは解除手続きを行ったあと、新しいスマホで再度有効化すれば問題ありません。中には、旧スマホの操作をせず、新しいスマホでワンタイムアプリを有効化するだけで設定が完了する場合もあります。

 

トークンを紛失してしまった場合

トークンを紛失してしまった場合は、速やかに発行金融機関へ利用停止・再発行手続きが必要です。トークンだけでは口座番号やパスワードが流出することはありませんが、ユーザー本人がログインできなくなってしまいます。また、トークンは電池切れになる前に新しいトークンが発行されることが大半です。

 

制限時間内にワンタイムパスワードが入力できなかった場合

生成されたワンタイムパスワードが入力できなかった場合、一定時間が経過すると生成されたパスワードは無効になります。有効時間が過ぎてしまった場合は、再度ワンタイムパスワードの発行が必要です。また、トークンを利用してワンタイムパスワードを生成する場合は、新しいワンタイムパスワードの表示を確認してから入力してください。

 

ニフティのワンタイムパスワード設定方法

ニフティのサービスでは不正利用を防止するために、アウトオブバンド方式のワンタイムパスワード認証を採用しています。ここから、ニフティのサービス利用者に向けて、ワンタイムパスワードの設定方法についてご紹介します。

 

ニフティではアウトオブバンド方式ワンタイムパスワードを採用

ニフティではアウトオブバンド認証方式を採用しているため、その都度登録メールアドレスへ通知が届きます。アウトオブバンド認証方式は、ネットショッピングの決済時にも採用されている安全な認証方法です。登録アドレスに送信されたワンタイムパスワードを入力しない限り、ログインできないのでなりすまし被害リスクを軽減できます。

 

ワンタイムパスワードの設定方法

ワンタイムパスワードをメールで受け取る場合の設定方法は、以下の通りです。

1．お客様情報一覧よりワンタイムパスワード設定画面へ進む

2．必要事項を登録し、「次へ」をクリック

3．ワンタイムパスワードを受信するメールアドレスを入力し「規則に同意の上、利用確認へ進む」をクリック

4．確認用ワンタイムパスワードの受信が確認できたら、パスワード入力画面へ入力し、送信をクリック

5．設定完了

ワンタイムパスワードの受信設定には、いくつかの注意点があるので、「ワンタイムパスワードをメールで受け取る方法」を確認しつつ設定してみてください。

まとめ

ワンタイムパスワードは不正利用が防止できるセキュリティ対策として、多くのサービスで導入されています。万一ID・パスワードが流出してしまった場合でも、ワンタイムパスワードが設定されていれば被害を最小限に抑えられる可能性があります。

ニフティのサービスを利用中で、まだワンタイムパスワードを設定されていない方は、ぜひこの機会に設定しておくことをおすすめします。

詳しい設定方法や注意事項については、「ワンタイムパスワードをメールで受け取る方法」をご確認ください。

※2022年3月時点の情報です。