最近、安全性が高い認証方法として認知され始めている「ワンタイムパスワード」。しかし、この手法には本当に死角がないのでしょうか?
最近では、多くのオンラインバンキングサービスで「ワンタイムパスワード」を利用できるようになりました。GoogleやTwitter、Facebookの「2要素認証」の1つとしても認知が拡大し、“毎回変わる6~8桁の数字を、通常のパスワードと併用して入力すれば安全”という認識が広く浸透し始めているようです。
極論を言えば、全てのサービスがワンタイムパスワードに対応すれば、これまでのパスワードが漏えいしたとしても、ログインは失敗に終わるはずです。一手間かかりますが、これで安全性は確保できます。
しかし、ワンタイムパスワードさえ使えば、本当にIDやお金を“完璧に”守れるのでしょうか? 今回は、この仕組みについて考えてみます。