EAP-OTPとは？ワンタイムパスワードで認証するEAP方式【SG試験】

まず結論

EAP-OTPは、ワンタイムパスワードを使って利用者を認証するEAP方式です。

SG試験では、細かい通信手順よりも、「時刻同期のワンタイムパスワード」や「一度だけ使えるパスワード」による利用者認証として切り分けることが重要です。

選択肢で、

が出てきたら、EAP-OTPを疑います。

EAP-OTPは、毎回変わるパスワードを使って本人確認をする方式です。

たとえるなら、毎回同じ合言葉を使うのではなく、

「今だけ有効な合言葉」

を使って認証するイメージです。

固定パスワードだけだと、盗まれたときに何度も悪用される可能性があります。

一方、ワンタイムパスワードは一度しか使えない、または短時間しか使えないため、固定パスワードより安全性を高めやすい方式です。

EAP-OTPは、EAP（Extensible Authentication Protocol）で使われる認証方式の1つです。

EAPは、ネットワーク接続時の認証で使われる枠組みです。

その中でEAP-OTPは、ワンタイムパスワードを利用して、利用者が正しい本人かどうかを確認します。

基本の考え方は次のとおりです。

ワンタイムパスワードには、時間によって変わるものや、カウンタなどによって変わるものがあります。

SG試験では、細かい生成方法よりも、EAP-OTP＝ワンタイムパスワードによる利用者認証と押さえれば十分です。

参考として、EAP全体の仕様はRFC 3748 Extensible Authentication Protocolで定義されています。

また、OTPトークンを使うEAP方式として、RFC 4793 The EAP Protected One-Time Password Protocolもあります。

EAP-OTPは、ネットワーク接続時に、ワンタイムパスワードを使って利用者を認証したい場面で登場します。

たとえば、次のような考え方です。

ただし、SG試験では、実務での細かい製品名や方式名まで深く覚える必要はありません。

大切なのは、EAP-OTPを見たときに、OTP＝One-Time Password＝一度だけ使えるパスワードと判断できることです。

EAP-OTPで混同しやすいのは、EAP-MD5、EAP-TLS、PEAP、EAP-TTLSです。

用語	判断ポイント
EAP-OTP	ワンタイムパスワードで利用者認証
EAP-MD5	チャレンジレスポンスで利用者認証
EAP-TLS	デジタル証明書でサーバとクライアントを相互認証
PEAP	TLSトンネルを作り、その中でID・パスワードなどを使う
EAP-TTLS	TLSトンネルを作り、その中で別の認証方式を使う

SG試験では、次のようなひっかけに注意します。

誤解1：EAP-OTPは証明書で相互認証する方式
→ 違います。証明書による相互認証ならEAP-TLSです。

誤解2：EAP-OTPはチャレンジレスポンス方式そのもの
→ 違います。チャレンジレスポンスが強調される場合はEAP-MD5を疑います。

誤解3：OTPなので、必ずサーバとクライアントを相互認証する
→ 注意が必要です。OTPは利用者認証のための仕組みです。相互認証がポイントならEAP-TLSを疑います。

選択肢では、「ワンタイムパスワード」が出たらEAP-OTP、「チャレンジレスポンス」が出たらEAP-MD5、「デジタル証明書による相互認証」が出たらEAP-TLSと切り分けます。