これまでプラスチックの乱数表で振り込みの認証をしていた銀行のオンラインバンキング、パスワードカードに切り替えられるという案内が来ていたので切り替えてみた。

これまでもワンタイムパスワード発生器には対応していたらしいけれど、今回のパスワードカードには数字キーがついているのがこれまでとの違い。まだ試してないので想像だけど、取引ごとにweb側から発行されるコードを入れて発生器側でパスワードを生成する、という流れになるのだろうか。

アクティベーション手続きはまず発生器に表示されるコード（初期コード4桁と通常の6桁コードの2つ）の認証、次にオンラインバンキングシステム側での認証という順番だった。システム側の認証ではあらかじめ登録された番号宛に電話がかかってきてweb側に表示されたコードをダイアルトーンで入力する、という方式だったんだけど電話がかかってくるときに、説明の途中であわてて確認コードを入れてしまうと手続きが途中で終わってしまう。これは自動音声の案内が終わるのを待って、「1#」を押せば次のステップに進める。

…というところで数日ハマって銀行の窓口に行きかけたのはいい思い出。

この手のワンタイムパスワードのシステムといえば、最近webの2段階認証でよく使われるTOTP対応だったらスマートフォンで（例えばGoogle Authenticator）認証できる…のかもしれないけど、それはそれで手軽すぎて恐ろしい気もする。

RFC 6238 - TOTP: Time-Based One-Time Password Algorithm