ワンタイムパスワードとは

ワンタイムパスワードは、一度だけ使用できる、いわば「使い捨て」タイプのパスワードを指します。ログイン認証など、セキュリティが特に重要な操作において使用されます。

パスワードの文字列は通常、一定間隔（設定された秒数：60秒ごとなど）で更新される仕組みになっています。一度認証されたパスワードは設定された時間が過ぎて更新されると使えなくなるため、パスワードの再利用や情報窃取による悪用防止に役立ちます。

ワンタイムパスワードの利用が近年増加している背景には、データ保護に関する法的規制とコンプライアンスの厳格化の流れがあります。オンラインショッピングの利用が増える中、クレジットカード決済などの不正利用が増加していることから、経済産業省は2023年、2024年末までの期限で、クレジットカード不正利用防止に向けた対策として利用者本人確認のためのワンタイムパスワードや生体認証の導入を義務付けました。

また2025年3月末までにクレジットカード取引に関わるカード会社、加盟店、決済代行業者等の関係事業者は、クレジットカード情報漏えい及び不正利用の防止のためのセキュリティ対策を求められることになりました。これにより金融機関やカード会社では認証方式の変更を行うことになり、多要素認証の一環としてワンタイムパスワードを導入する企業が増えています。

（参考）
日本経済新聞：クレカ決済、本人認証機能の導入義務化　24年度末までに
経済産業省：クレジットカード・セキュリティガイドライン【4.0版】が改訂されました

ワンタイムパスワードで表示されるパスワードはランダム生成されること、一度しか使用できないことから、万が一第三者に盗まれても不正アクセスに利用されるリスクが低くなります。またパスワードを自動生成する特性から、従来のように組織内の関係者全員分のID（ユーザー情報）とパスワードを管理する必要がなく、IT管理部門や担当者の負担を軽減できます。

一方で、ワンタイムパスワードは不正アクセスを完全に防御できるわけではなく、例えば端末がウイルスに感染している場合にワンタイムパスワードが盗み見られてしまうといった脆弱性も存在します。ワンタイムパスワードのリスクを防ぐには、多要素認証との併用が推奨されます。