PR

 ログインが必要なWebサービスの多くでは、入力されたアカウント情報(ユーザーIDとパスワードの組み合わせ)が正しいかどうかだけで、ユーザーが本物かどうかを確認する。このため、フィッシング詐欺などでアカウント情報を盗まれて、ユーザーになりすまされるケースが後を絶たない。

 そこで一部のWebサービスでは、「ワンタイムパスワード」を導入してセキュリティを高めている。ワンタイムパスワードとは、一定時間、1回限り有効なパスワードのこと。「セキュリティコード」や「確認コード」などと呼ばれることもある。毎回異なる文字列(数字列)がパスワードになるので、第三者に盗まれても再利用される心配がない。

 ワンタイムパスワードを使ったログイン手順は以下の通り(図1)。ユーザーはまず、通常のログイン手順と同様に、ログイン画面にユーザーIDとパスワードを入力する。

●ログイン時に一時的なパスワードを通知
図1 ワンタイムパスワードを使ったログインの流れ。2段階認証方式などとも呼ばれる。通常のユーザーID(メールアドレス)とパスワードでログインしようとすると、あらかじめ登録したスマートフォンなどに、短時間だけ有効な別のパスワード(ワンタイムパスワード)が送られてくる。そのパスワードを入力すると、サービスにログインできる
図1 ワンタイムパスワードを使ったログインの流れ。2段階認証方式などとも呼ばれる。通常のユーザーID(メールアドレス)とパスワードでログインしようとすると、あらかじめ登録したスマートフォンなどに、短時間だけ有効な別のパスワード(ワンタイムパスワード)が送られてくる。そのパスワードを入力すると、サービスにログインできる
[画像のクリックで拡大表示]

 すると、あらかじめ登録しておいたスマートフォンなどに、ワンタイムパスワードが送られてくる。そのワンタイムパスワードを入力すると、Webサービスにログインできる。つまり、ユーザーIDとパスワードを知っているだけではログインできない。それらを知っていることに加えて、ワンタイムパスワードの送り先として登録したスマートフォンなどの持ち主である必要がある。

 ワンタイムパスワードを使ったユーザー認証方式では、2種類のパスワードでユーザーを確認することになる。このため、「2段階認証方式」や「2要素認証方式」などとも呼ばれる。