メインコンテンツへ
セキュリティワンタイムパスワード

ワンタイムパスワード(OTP)を認証に利用する主な目的として最も適切なものはどれか。

ア.パスワードを定期変更する手間を省略し、同じパスワードを長期間安全に使い続けられるようにするため。
イ.通信経路で盗聴されたり、フィッシング等でパスワードが漏洩しても、そのパスワードを再利用した不正ログインを防ぐため。正解
ウ.複数のWebサービスで同じパスワードを使い回す際のリスクを、サービス提供者側で自動的に排除するため。
エ.ユーザがパスワードを記憶する必要をなくし、パスワードレス認証への完全移行を実現するため。

解説

OTPは「使い捨て入館パス」のようなもの。今日のパスが「3927」でも、明日は無効なので盗み見た人が翌日使っても扉は開きません。一回しか使えないから盗んでも意味がないのです。

なぜ イ が正解か

OTPの核心的なメリットは「使い捨て」性にあります。TOTPやHOTPなど一定時間(通常30秒)で失効するパスワードを使うため、通信傍受・フィッシング・画面覗き見などでパスワードが漏れても、その後の再利用(リプレイ攻撃)に使えません。静的パスワード+OTPの2要素認証で大幅にセキュリティ向上します。イが正解です。

なぜ ア は間違いか

OTPは「毎回変わる」パスワードです。「同じパスワードを長期間使い続ける」のはOTPと真逆であり、それはセキュリティリスクの原因です。

なぜ ウ は間違いか

パスワードの使い回しリスクをサービス提供者が排除することはできません。OTPはユーザが使い捨てコードを毎回入力することで、盗まれたコードの再利用を防ぐ技術です。

なぜ エ は間違いか

OTPはパスワードの代替ではなく、多くの場合パスワードに「追加」する第二要素として使います。パスワードレス認証への完全移行はFIDO2/WebAuthnなど別の技術です。

出典: AI生成問題(学習用)