TOTP
定義
TOTP(Time-based One-Time Password)はRFC 6238で定義された認証方式で、サーバーとクライアントが共有するシークレットキーと現在時刻(UNIX時間を30秒区切りで使用)からHMAC-SHA1で6桁の数字を生成します。毎回使い捨ての数字のため盗聴・リプレイ攻撃に強く、Google Authenticator・Authy・Microsoft Authenticator・1Passwordなどのアプリが実装を提供しています。SMS OTPに比べてSIMスワッピングによる傍受リスクがないためより安全ですが、Evilginxのようなリバースプロキシ型フィッシングはTOTPコードをリアルタイムに中継できるため、フィッシング耐性は完全ではありません。登録時のQRコード(シークレット)が漏洩するとTOTPが完全に無効化されるため、シークレットのバックアップは厳重に管理する必要があります。管理者アカウント・クラウド管理コンソールには少なくともTOTPを導入し、可能であればFIDO2/パスキーへの移行が推奨されます。
関連用語
同じカテゴリの用語(プロトコル・技術)
現在最も広く使われる対称暗号アルゴリズム。128・192・256ビットの鍵長をサポート。ECB・CBC・GCMなど複数の…
メール送信ドメインの正当性を検証するSPF・DKIMの検証結果に基づき、認証失敗メールの処理ポリシー(quarantin…
ドメイン名をIPアドレスに変換するシステム。Aレコード・MXレコード・CNAMEレコード・TXTレコードなど多種のレコー…
FIDOアライアンスとW3Cが共同策定したパスワードレス認証標準。WebAuthn(ブラウザAPI)とCTAP(デバイス…
WebサーバーがブラウザにHTTPSのみで接続するよう強制するセキュリティヘッダー(Strict-Transport-S…
JSONをBase64URLエンコードしデジタル署名した認証トークン。ヘッダー・ペイロード・署名の3部構成。署名アルゴリ…