OTP（ワンタイムパスワード）とは何ですか？

一度だけ使える使い捨てのパスワード。ログインや取引の認証時に、SMSやアプリで発行される数桁の数字コードが代表的。盗まれても再利用できないため安全性が高い。

OTP（ワンタイムパスワード）のポイントは？

一度使うと無効になるため、パスワードの盗用リスクを大幅に低減。SMS、メール、認証アプリ（TOTP）、ハードウェアトークンで発行される。時間ベース（TOTP）とカウンターベース（HOTP）の2方式がある。多要素認証の「所持」要素として広く使われている

【おーてぃーぴー】

💡 一回使ったら消える魔法のパスワード、盗んでも使えない

📌 このページのポイント

OTPの仕組み

ひよこ

ワンタイムパスワードって、銀行アプリでよく見るやつだよね？

ペンギン先生

そうそう。ログインや振込の時にSMSや専用アプリに届く6桁くらいの数字のことだよ。30秒とか60秒で有効期限が切れて、一度使ったらもう使えなくなるんだ

ひよこ

普通のパスワードと何が違うのかな？

ペンギン先生

普通のパスワードは変更するまでずっと同じだから、一度盗まれたら何度でも使われちゃうよね。OTPは毎回新しい値が生成されて一回使ったら消えるから、たとえ盗まれても再利用できないんだよ

ひよこ

SMSで届くのとアプリで見るのは何が違うの？

ペンギン先生

SMSはSIMスワッピングで盗まれるリスクがあるから、認証アプリ（Google AuthenticatorやAuthyなど）の方が安全だよ。アプリは端末内で計算するからネットワーク経由で盗まれにくいんだ

ひよこ

TOTPとHOTPって聞いたことあるけど何が違うの？

ペンギン先生

TOTPは時間ベースで、30秒ごとに新しいコードが生成されるよ。HOTPはカウンターベースで、ボタンを押すたびに新しいコードが出る方式だね。今はTOTPが主流で、RFC 6238で標準化されているよ

まとめ：ざっくりこれだけ覚えればOK！

「OTP」って出てきたら「一度きりの使い捨てパスワード」と思えればだいたいOK！

📖 おまけ：英語の意味

「One-Time Password」＝一回限りのパスワード

💬 One-Time（一回限り）の名の通り、使い捨てだから安全なんだよ