HMAC-based One-time Password

HMAC-based One-time Password (HOTP) やHMACベースのワンタイムパスワードは、HMACを利用したワンタイムパスワード (OTP)のアルゴリズムであり、オープン標準として無料公開されている。また、OATHの基礎となっている。

HOTPは、そのアルゴリズムおよびJavaでの実装例を文書化したRFC 4226という形で、2005年12月に公開された。以来、多くの企業で採用されている。

アルゴリズム

HOTPは、一回分の認証試行に限り使用可能な(使い捨ての)パスワードとして、人間にも判読しやすい値を対称的に生成するという方法で本人認証を実現する。使い捨てであるという特性は、生成する度にカウンタの値が変動することに由来する。

パラメータ

HOTPを使う前に両者の間でいくつかのパラメータを共有する必要がある。基本的には認証者が指定し、被認証者はそれらを受け入れるかどうか決定する^{[注釈 1]}。

• ${\displaystyle H}$：暗号学的ハッシュ関数

  SHA-1を使用する^[1][2]。

  TOPTに拡張される際SHA-256とSHA-512も選択できるようになった^{[3][注釈 2]}。HOTPのハッシュアルゴリズムとして選択できる実装もある^[4]。

• ${\displaystyle K}$：共有シークレット

  認証者と被認証者で共有する非公開の静的なデータ^[5][6]。 秘密鍵、シードとも呼ばれる^[7][8]。

  少なくとも128ビット必要で160ビットが推奨される^[5]。

  被認証者（トークン）は固有の共有シークレットを持ち^[5]、これは認証者によって決定論的方法やランダムで生成されトークンにプロビジョニングされる^[9]。

  スマートフォンで使われるソフトウェアトークンでは共有シークレットのプロビジョニングをQRコードで行うことが多い^[10][11]。

• ${\displaystyle C}$：カウンタ

  生成回数の累計値で、大きさは8バイト

• ${\displaystyle D}$：出力値の長さ

  6–10、デフォルトは6、推奨値は6-8

  多くのベンダーが提供するプロプライエタリなハードウェアトークンでは、${\displaystyle D}$のデフォルト値が固定されている場合、6桁が一般に採用されている。^[要出典]

計算方法

RFC 4226に従い、ここでは${\textstyle H}$をSHA-1とした場合の計算方法を示す。

HOTPの計算式は次の形で表される。

${\displaystyle {\text{HOTP}}(K,C){=}{\text{Truncate}}({\text{HS}})}$

${\displaystyle {\text{HS}}{=}{\text{HMAC-SHA-1}}(K,C)}$

${\textstyle {\text{Truncate}}()}$の詳細を示す。

1. ${\textstyle {\text{HS}}}$の下位4ビットを取り出し、オフセット値${\textstyle i}$とする。
2. ${\textstyle {\text{HS}}}$のバイト列について、先頭を0番目としたときの${\textstyle i}$番目～${\textstyle i}$+3番目を取り出す。取り出した4バイト(32ビット)の値を${\textstyle P}$とする。
3. さらに、${\textstyle P}$の最上位1ビットを切り捨て、これを${\textstyle S}$とする。^{[注釈 3]}
4. ${\textstyle S}$を十進数に変換し、下位${\textstyle D}$桁をモジュロ演算で取り出す。

手順1から手順3までの操作を、RFC 4226 では動的切り捨て（Dynamic Truncation）と呼称している。

ここで、${\textstyle S}$は高々2,147,483,647(=2³¹-1)であることから、${\textstyle D}$の最大値は10であり、また${\textstyle D}$が10のときに限り最上位は0·1·2のいずれかとなることが分かる。

実装上の注意

認証者と被認証者はそれぞれ独立してカウンタの値をインクリメントするが、(トークンの誤操作による過剰な生成等で)被認証者側の値が認証者側の値を上回る可能性がある。そのため、RFC 4226 では再同期パラメータ${\textstyle s}$を設定しておくことを推奨している。認証者は${\textstyle s}$個先のHOTPまで同時に計算し、照合に成功した値があればそのカウンタの値を反映する。この過程で、被認証者側に対して特別に要求される操作は存在しない。

データ量が比較的小さいために総当たり攻撃が行われやすいので、値の検証時は意図的に処理速度を落とすスロットリングを行うことが推奨されている。例えば、何度か認証に失敗した場合はアカウントをロックアウトしたり、認証に失敗する度に直線的に増加する遅延を意図的に挿入したりすることが提案されている。

認証完了後、認証者はその次のカウンタの値でHOTPを生成して被認証者に送信することで、認証者自身の正当性を証明することができる。この過程ではカウンタの再同期が必要となり得ない点に注意したい。^{[注釈 4]}

トークン

ハードウェアトークンもソフトウェアトークンも共に様々なベンダーから提供されており、その一部を下に列挙する。

HOTPベースのハードウェアトークンは、プロプライエタリなアルゴリズムを採用した製品よりも大幅に安くなる傾向にある^[12]。2010年以降、HOTPベースのハードウェアトークンはごく僅かな価格で購入できるようになった^[13]。一部の製品は、HOTPだけでなく強力なパスワードも利用できる^[14]。

ソフトウェアトークンは、ほとんど全ての主要なモバイル/スマートフォンプラットフォームで利用可能である。(J2ME^[15], Android^[16], iPhone^[17], BlackBerry^[18], Maemo^[19], macOS^[20], Windows Mobile^[18])

業界の反応

2004年から2005年にかけて、コンピュータ関連を専門とする一部の報道機関からの初期の反応は否定的であったものの^[21][22][23]、IETFが2005年12月にHOTPをRFC 4226として公開して以降、様々なベンダーがHOTPと互換性のあるトークンや認証ソリューションを開発し出した。

ガートナー社の一部門であるBurton Groupが2010年に公開した"Road Map: Replacing Passwords with OTP Authentication"^[12]という強力な認証（英語版）に関する記事によると、「今後もワンタイムパスワードを専用ハードウェアで生成するという形態は緩やかに発達し続けるものの、これからはスマートフォンでワンタイムパスワードを生成する形態が成長し、標準となっていくだろう」とガートナー社は予想していた。

現在はスマートフォンにアプリで簡単にトークン機能を導入できるようになったため^[24]、法人向けネットバンキング等の非常にリスクの高い取引を除いては、(ガートナー社の予想通り)スマートフォン一台で全て完結するようになった。