Time-based One-time Password

Aegis Authenticatorのスクリーンショット

Time-based One-time Password（タイムベーストワンタイムパスワード、英: TOTP）は、多要素認証（MFA）における所有物認証の一種であり、現在時刻と共有シークレットに基づいて生成されるワンタイムパスワード（一度限りのパスワード）である。

アルゴリズム

コードの生成方法として、専門企業が独自に開発したアルゴリズムを利用する場合と、HMAC-based One-time Passwordをベースとした「OATH-TOTP」(RFC 6238)を利用する場合がある。

前者はあくまでプロプライエタリソフトウェアの一部であって、導入するために(金銭が伴う)何かしらの契約をしなければならないのに対し、後者は誰でも利用できるよう国際標準化された規格であり、共有シークレットを適切にユーザーへ配信できさえすれば良い。そのため、ほとんどのWebサービスで後者の方式を採用している。

単語通り「時刻ベースのワンタイムパスワード」と訳せば両方を包括し得るものの、RFC 6238 のタイトルにもなっていることから、一般に"TOTP"と言うときは後者を意図することが多い。文脈的に紛らわしければ、前者を指すときは製品名で、後者を指すときは規格名で呼べば確実に伝わる。

企業独自のアルゴリズムを搭載した製品

基本的にはRFC 6238が制定される前から販売されている製品が該当する。

初期設定時は、共有シークレットをトークン内にダウンロードするためのID類を入力したり、シリアル番号を入力することで工場出荷時にトークン内に書き込まれた共有シークレットとユーザーアカウントをサーバー側で紐付けたりする。このため、一般的なOATH-TOTPの登録手順のようにユーザーが共有シークレットの生データに触れることはない。

互換性の向上のため、下に例示したシリーズ内にも、OATH-TOTPにも対応した製品や企業独自のアルゴリズムを搭載していない製品が存在する。

製品例

BizXaaS Authentication (NTTデータグループ) ^[1]
SecurID (RSAセキュリティ) ^[2]
Digipass (OneSpan（英語版）) ^[3]

OATH-TOTPに準拠した製品

サーバーから提供されたBASE32形式の^{[注釈 1]}共有シークレットを、OATH-TOTPに準拠する汎用型の管理ソフト・デバイスにユーザー自ら登録する。正しくワンタイムパスワードを生成できればどんなソフト・デバイスを選んでも問題ないので、各自のニーズにあわせて好みのものを選んで利用できる。

しかしながら、インターネットバンキングなどの高いセキュリティが求められる場面では、上記の一般的な登録手順のように共有シークレットの生データが露出する機会があること自体がリスクとなり得ることがある。この場合は、企業独自のアルゴリズムを搭載した製品のように専用型の管理ソフト・デバイスを利用する。

汎用型の管理ソフト・デバイスの例

Aegis Authenticator - フリー＆オープンソース
andOTP^[4]
ente Auth - フリー＆オープンソース
FreeOTP
Google Authenticator
KeepassXC
- パスワードマネージャーであるが、OATH-TOTP管理機能も存在。
YubiKey (Yubico) ^[5]
- FIDOセキュリティキーであるが、OATH-TOTP管理機能も搭載。

専用型の管理ソフト・デバイスの例

→「Time-based One-time Password § 企業独自のアルゴリズムを搭載した製品」も参照

Symantec VIP (シマンテック) ^[6]
- 汎用型のOATH-TOTP管理ソフトとしても使える設計である。

セキュリティ

→詳細は「ワンタイムパスワード § 各技術の比較」を参照

関連項目

脚注

注釈

^ 登録に必要な情報を取り扱いやすくするため、それらの情報を格納したURIやQRコードも併せて表示するのが一般的である。

出典

^ “Home - ワンタイムパスワード認証/トランザクション認証サービス : BizXaaS-Authentication”. www.bizemotion.net. NTTデータグループ. 2024年10月30日閲覧。
^ “SecurID” (英語). RSA. RSAセキュリティ. 2024年10月29日閲覧。
^ “Secure Transaction Signing” (英語). www.onespan.com. OneSpan（英語版）. 2024年10月29日閲覧。
^ andOTP/andOTP, andOTP, (2020-08-11), https://github.com/andOTP/andOTP 2020年8月11日閲覧。
^ “What is OATH - TOTP (Time)?” (英語). Yubico. Yubico. 2024年10月29日閲覧。
^ “Symantec VIP - 2 要素認証をどこからでも”. vip.symantec.com. シマンテック. 2024年10月30日閲覧。

Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve

Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama

Portal : Bahasa

Portal : Biografi

Portal : Budaya

Portal : Elektronika

Portal : Geografi

Portal : Ilmu

Portal : Masyarakat

Portal : Matematika

Portal : Pendidikan

Portal : Politik

Portal : Sejarah

Portal : Seni

Portal : Teknologi

Kembali kehalaman sebelumnya