ワンタイムパスワードは、サービスにアクセスするために1回だけ使用できるコードです。再度サインインできるようにするには、新しいワンタイムパスワードを生成する必要があります。 ワンタイムパスワードは、モバイルアプリケーション、物理的なセキュリティトークン、SMSなどのさまざまな手段で生成できます。 これらのトークンは通常、更新されて新しいトークンに置き換えられる前に、短期間有効です。
Technipagesはワンタイムパスワードについて説明しています
2番目の要素としてワンタイムパスワードを要求することにより、セキュリティは2つの方法で強化されます。1つは、攻撃者がパスワードを知り、正しいワンタイムパスワードにアクセスできるようにする必要があることです。 第二に、攻撃者が中間者攻撃を実行し、パスワードとワンタイムパスワードを危険にさらすことができる場合、ワンタイムパスワードはリプレイ攻撃での2回目の使用には無効になります。
ワンタイムパスワードシステムは比較的安価で、製品によってはエンドユーザーが無料で利用できますが、企業は従業員のライセンス料を支払う場合があります。 モバイルアプリケーションまたはSMSを利用するサービスは通常、ユーザーは無料です。RSAトークンのような物理的なセキュリティトークンを使用するサービスには、関連するコストがあります。
ワンタイムパスコードを提供する2要素検証プロセスの2番目の要素としてSMSを使用すると、 これらの攻撃はかなりですが、攻撃者がメッセージを傍受して使用する方法があるため、リスクはわずかです。 繁雑。 セキュリティコミュニティは一般に、SMSは2番目の要素のワンタイムパスコードを使用しないよりも優れているが、他のプラットフォームは一般的に安全であり、優先されるべきであるとアドバイスしています。
ワンタイムパスワードの一般的な使用法
- ハードウェアセキュリティトークンは通常、時間同期されたワンタイムパスワードを実装します
- 一部の銀行は、印刷されたワンタイムパスワードをオンラインバンキングシステムの新規ユーザーに送信します。
- 多くの場合、ワンタイムパスワードは2要素認証システムの一部です。
ワンタイムパスワードの一般的な誤用
- ワンタイムパスワードは使い捨てアカウントにのみ使用されます。