Initiative for Open Authentication

OATHは、強固な認証技術の採用を広げるために、オープンでロイヤリティフリーな仕様を公開し、異なるベンダや実装間の相互運用性を高めることを目標とする。公式サイトでは、ワンタイムパスワード関連仕様の公開、リファレンスアーキテクチャの整備、認証制度の運営、他団体との協力を主要活動として掲げている^[5]。

OATHはしばしばOAuthと混同されるが、両者は別物である。OATHは認証のためのオープン標準群を扱うのに対し、OAuthは主としてAPIや保護資源へのアクセス委任を扱う認可プロトコルである^[6]。

OATHの目的は、強固な認証を広く利用可能にし、特定ベンダに依存しない形で普及させることである。公式説明によれば、OATHは以下のような活動を行っている^[7]。

• ワンタイムパスワードおよび関連技術のオープンでロイヤリティフリーな仕様の公開
• 強固な認証およびパスワードレス認証のためのリファレンスアーキテクチャの提示
• 認証器と検証サーバの相互運用性を促進する認証制度の運営
• 他の標準化団体や業界団体との連携

現在のOATHサイトでは、HOTP Token Profile・TOTP Authenticator Profile・OCRA Transaction Signing Profileなどの相互運用プロファイルや認証制度も案内されている^[8]。

HOTP

RFC 4226は、HMACを用いたイベントベースのワンタイムパスワード方式であるHOTPを定義している。RFC 4226の冒頭では、『この仕様がOATHメンバーによる共同作業であり、インターネット上で二要素認証の採用を容易にするため、自由に配布可能な共通アルゴリズムを目指した』と説明されている^[9]。

TOTP

RFC 6238は、HOTPを拡張した時間ベースのワンタイムパスワード方式であるTOTPを定義している。これは、イベントカウンタの代わりに時間値を移動因子として用いるものであり、現在では認証アプリを用いた二要素認証の代表的な方式として広く利用されている^[10]。

OCRA

RFC 6287は、OATHにより開発されたチャレンジレスポンス認証方式であるOCRAを定義している。RFC 6287は、『OCRAがHOTPを基礎にしつつ、一方向認証・相互認証・電子署名用途に対応する』と説明している^[11]。

PSKCとDSKPP

RFC 6030のPSKCは、対称鍵を安全に移送・保管するためのコンテナ形式を定義する。RFC 6063のDSKPPは、クライアント装置へ動的に対称鍵を供給するためのプロトコルである。いずれも、ワンタイムパスワードトークンや対称鍵ベース認証の実運用を支える周辺仕様として位置づけられる^[12][13]。

OATHは、特定ベンダ製品に依存しない認証仕様群を整備した点で、多要素認証の普及に大きな影響を与えた。特にHOTPとTOTPは、ハードウェアトークンやスマートフォン認証アプリを含む多くの実装で共通基盤として用いられている。OATHの現行サイトでも、これらの仕様が広く展開されている認証方式の基盤であることが強調されている^[14][15]。

近年のOATHは、古典的なOTP標準の維持にとどまらず、相互運用プロファイルや認証制度の提供を続けている。また、2025年にはPasswordless Allianceへの参加を公表しており、認証の相互運用性と普及促進に関する活動を継続している^[16][17]。

• HOTP
• TOTP
• OCRA
• 多要素認証
• ワンタイムパスワード
• OAuth