TOTPとは？タイムベースのワンタイムパスワードについて知っておくべきことすべて

オンラインでサインインする際、認証アプリから送信された6桁のコードを入力した経験があるのではないでしょうか。それはタイムベースのワンタイムパスワード、またはTOTPと呼ばれており、お客様のオンラインアカウントのセキュリティを強化するための非常に簡単な方法です。

これらのコードの有効期限は30〜60秒と短いため、サイバー犯罪者にパスワードを盗まれたとしても、お客様のアカウントにアクセスすることはほぼ不可能です。この記事では、TOTPとは何か、その仕組み、そして他の認証方法との比較について解説します。

TOTPとは？

TOTPは、時間を重要な要素として一時的なコードを生成するワンタイムパスワード（OTP）の一種です。これらのコードは30〜60秒ごとに変更されるため、サイバー犯罪者が侵害することを極めて困難にします。万が一、何らかの方法でコードが知られてしまったとしても、有効期限が非常に短いため、攻撃者にとってはすぐに無用なものとなります。

TOTPは、お客様のユーザー名とパスワードにセキュリティレイヤーを追加する2要素認証（2FA）方式です。使い方は非常に簡単で、認証アプリからコードを生成するだけで利用でき、タイムベースという特性上、非常に安全です。

TOTPはどのように機能するのでしょうか？

簡単に言うと、TOTPは保護対象のサービスとお手持ちのTOTPアプリとの間で秘密鍵を共有することによって機能します。

2要素認証を有効にする際、QRコードをスキャンして、お客様のTOTP認証システムと秘密鍵を共有します。TOTPアプリは無料で、代表的なものにはGoogle AuthenticatorやMicrosoft Authenticatorがあります。安全なパスワードマネージャーをご利用の場合、TOTPコードを生成する統合型2要素認証機能が搭載されていることがあります。Proton Passはそのようなパスワードマネージャーの1つであり、お客様のパスワードを安全に保管し、2要素認証コードの生成をすべて1つのアプリで行うことができます。

初期セットアップが完了すると、お客様がログインするサービスと認証アプリが同期し、秘密鍵を使用して同じコードを同時にそれぞれで計算します。ログイン時、2要素認証コードの入力を求められます。サービス側のコードとお客様が入力したコードが一致すれば、ログインが完了します。

TOTPと他のワンタイムパスワードの違い

TOTPは、数あるワンタイムパスワード（OTP）方式の1つに過ぎません。ここでは、TOTPと他の方式との比較を簡単にまとめました。TOTP、OTP、およびHOTPの違いについての詳細なガイドもあわせてご覧いただけます。

TOTP vs OTP

OTPは、使い捨てパスワードの総称です。TOTPは、タイムベースのモデルを使用してOTPコードを生成するOTPの一種です。すべてのTOTPはOTPですが、ほかにもOTP方式は存在します。これにはSMSやメールによるコード、およびHOTPが含まれます。各方式によって、お客様のOTPコードの生成方法と配信方法は異なります。

TOTP vs HOTP

HMACベースのワンタイムパスワード（HOTP）は、リクエストがあった場合にのみ新しいOTPコードを生成します。これは、新しいコードが生成されるまで各コードが有効であることを意味し、その結果、侵害を受けやすくなります。TOTPコードは30〜60秒後に自動的に再読み込みされるため、攻撃者が盗んだコードを利用できる時間ははるかに短くなります。

TOTP vs SMSおよびメールコード

SMSやメールのコードは携帯電話やインターネットのネットワーク経由で配信されるため、傍受に対して脆弱です。セキュリティが不十分なネットワークや侵害されたネットワークを使用している場合、攻撃者にお客様のアクティビティをのぞき見され、OTPコードを盗み取られる可能性があります。それに比べて、TOTPコードはデバイス上で生成され、ネットワークを介して送信されないため、より安全です。

TOTPのセキュリティ上のメリット

TOTPをお客様の優先するOTP方式として利用することには、いくつかのセキュリティ上の利点があります。

• 時間制限付きコード：TOTPコードは、新しいコードが生成される前の30〜60秒以内に有効期限切れになります。有効期限切れのコードは再利用できないため、攻撃者が盗み出したTOTPコードを使用する時間はほとんどありません。
• 傍受防止：TOTPコードはデバイス上で生成されます。ネットワークセキュリティの不備によって傍受される可能性のあるネットワークを介して送信されることはありません。
• データ侵害からの保護：データ侵害によってお客様のパスワードが漏洩した場合でも、TOTPコードが不正ログインに対する追加のバリアとなります。攻撃者はお客様の認証アプリがなければ、アカウントにアクセスすることはできません。
• あらゆるスマートフォンで動作：TOTPはスマートフォンから直接機能するため、ハードウェアトークンを購入する必要はありません。お客様のデバイスに認証アプリをダウンロードするだけで、準備は完了です。

TOTPは優れたセキュリティを提供しますが、完璧ではありません。お客様のデバイスを紛失するとアカウントからロックアウトされる可能性があるため、常にバックアップコードを保存しておいてください。また、不適切な時間設定はTOTPが失敗する一般的な原因となるため、デバイスの時計がインターネットと自動的に同期していることをご確認ください。

TOTPでお客様のアカウントを保護しましょう

TOTPは、他のOTP方式よりも優れたタイムベースのコードにより、お客様のアカウントのセキュリティを強化します。複数のパスワードや2要素認証コードの管理を煩わしく感じる必要はありません。TOTP認証機能が統合されたパスワードマネージャーであるProton Passをご利用ください。

Proton Passは、パスワードの保管と生成に2要素認証システムを組み合わせており、サインイン時のアプリ切り替えや、追加のアプリをダウンロードする必要性をなくします。これにより、お客様の貴重なストレージ容量を節約し、2要素認証でのサインインをシームレスに行うことができます。お客様が生成するコードを含め、Proton Passに保管するすべてのデータは、強力なエンドツーエンド暗号化によって保護されます。

ログインセキュリティを次のレベルに引き上げましょう。今すぐお客様のアカウントでTOTPを有効にし、すべてのパスワードをProton Passに保存してください。