OATHによるワンタイムパスワードの仕様 - 1

OATH (The Initiative for Open Authentication) は、Verisignなどのベンダーが中心となって、認証に関する標準規格を策定している団体です。今回はOATHが策定しているワンタイムパスワードの仕様について取り上げます。

そもそもワンタイムパスワードとは？

「ワンタイムパスワード」はその名の通り、その時だけ有効な1回限りのパスワードを使って認証を行う仕組みです。使用するたびにパスワードが変わることになるので、万が一パスワードが漏えいしても、そのパスワードを他人に悪用される危険性を大幅に削減できます。

では、利用者は毎回変わるパスワードをどうやって知るのでしょうか？ 利用者は自分の使うパスワードを知るために、ワンタイムパスワードを生成する「道具」を別に持っている必要があります。

この「道具」としてよく用いられているのが「トークン」と呼ばれるものです。このトークンには、ボタンを押すたびに新しいパスワードが生成、表示されたり、決まった時間ごと（30秒ごと、1分ごとなど）に新しいパスワードが生成、表示されたりします。最近では、トークンの代わりにスマートフォンのアプリを使う（「ソフトウェア・トークン」とも呼ばれます）ケースも出てきています。


WebアプリケーションやVPN機器など、ログイン先の認証システム（サーバー側）が生成するパスワードと、トークン（クライアント側）が生成するパスワードを共通の方法で算出し、両者のパスワードを常に一致させるようにすることによって、ワンタイムパスワードとして利用することができることになります。

次回は、OATHが規定しているワンタイムパスワードの2つの生成方法について取り上げましょう。