多くのWebサービスなどでは、「パスワード」による認証を用いています。しかし、近年様々な攻撃により、「パスワード」のみの認証ではセキュリティ強度を担保できないようになってきました。認証強度を高めるために登場した認証方式が「2段階認証」「2要素認証」「多要素認証 (MFA)」です。今回はそれらの違いを含め解説したいと思います。
目次
認証の3要素
本題に入る前に、重要な「認証の3要素」について解説しておきます。
認証の要素は大きく分けて「知識情報」「所持情報」「生体情報」の3つです。
知識情報による認証 パスワード、PIN、秘密の質問などのユーザーだけが知っている知識情報で認証する方法です。パスワードによる認証は比較的かんたんに導入できるが、デメリットもあります。パスワードを何度も試行されるようなブルートフォース攻撃やパスワードを盗み取るフィッシング攻撃などにより、不正に利用されるリスクを抱えています。また、複数のサイトで同じパスワードを使い回すことで被害を拡大するリスクもあります。このようにパスワードのみでの認証ではセキュリティ強度が担保できなくなっています。
所持情報による認証 社員証のようなICカード、物理デバイスのセキュリティキー、スマホなどのユーザーが持っている所持情報で認証する方法です。ICカードによる認証ではカード内の情報を読み取り認証を行う。セキュリティキーによる認証では、複数の認証形式(ワンタイムパスワード、FIDOなど)に対応した認証が可能です。スマホによる認証では、アプリでの認証やSMSでコードを受け取るような認証が可能です。認証の形式にもよりますが、パスワードのように共有されるものではないため、セキュリティ強度は比較的高い認証方法です。しかし、紛失や盗難リスクがあるので注意が必要です。
生体情報による認証 指紋、顔、静脈といったユーザーの身体的特徴を用いて認証する方法です。生体を使用することで、パスワードを記憶する必要がなくなることや、認証用のデバイスを忘れるといったこともなく、利便性・安全性に優れた認証が可能です。しかし、この認証方法は100%の精度で認証しているわけではありません。加齢による身体の変化や事故による身体の損傷などで識別できないこともあります。また、何らかの方法で生体情報が不正に偽造されると、生体認証でログインするシステムに不正にアクセスされる危険性もあります。
以上が認証の3要素となります。以降で説明する認証方法は、複数回に認証を分けたり、認証要素を組み合わせることにより、各認証要素のデメリットを補いつつ、セキュリティ強度を高める方法になります。
2段階認証
2段階認証とは、認証の3要素のうち、1つの要素を2回に分けて認証を行う認証方法です。
よくあるものとしては、「ID / パスワード(知識)」入力後に、メールなどで受信した「確認コード(知識)」を入力することで、「知識情報」を2回に分けて認証する2段階認証を行っています。この認証方法を用いることで、第三者にパスワード認証が突破されたとしても、確認コードが分からなければ、認証ができません。パスワードのみの認証よりもセキュリティ強度の高い認証となります。
2要素認証
2要素認証とは認証の3要素である「知識情報」「所持情報」「生体情報」の3つの認証要素のうち、2つの異なる認証要素を組み合わせた認証方法です。
身近な例としてはATMでの認証が挙げられます。ATMに「キャッシュカード(所持)」を挿入し、「PINコード(知識)」を入力することで、所持と知識による2要素認証が完了し、お金を引き出すことができます。Webサービスやアプリケーションでも「ID / パスワード」の入力後に、認証デバイスを求めるなどの方法で2要素認証を実現しています。万が一、どちらか一方の情報が盗まれたとしても、2つの情報がないと認証できません。これまで紹介してきた、単一要素のみの認証、2段階認証と比べて、セキュリティ強度の高い認証方法となります。
多要素認証(MFA: Multi-Factor Authentication)
多要素認証とは、認証の3要素である「知識情報」「所持情報」「生体情報」の3つの認証要素のうち、異なる認証要素を2つ以上組み合わせた認証方法です。この定義でいうと、2要素認証も多要素認証に含まれます。
具体的なMFAの一例を挙げると、SalesforceのようなWebサービスに生体認証デバイスのセキュリティキーを用いてログインする際、「ID / パスワード (知識)」入力後、「セキュリティキー (所持)」が求められ、本人確認のために「指紋 (生体)」を検証します。ここでは「知識」「所持」「生体」の2つ以上の要素を含む全てを検証することで多要素認証を実現しています。異なる2つ以上の要素を含んだ認証のため、セキュリティ強度の高い認証方法となります。
最後に
ビジネスやプライベートでも使用するGoogleやTwitterなどのSNSでも「多要素認証(MFA)」の設定があるので、アカウント乗っ取りを防ぐためにもMFAの設定をおすすめしています。また、弊社ではMFAで使用するセキュリティキーを取り扱っており、下記のサイトから購入することができます。大量購入やお見積り等はお問い合わせフォームからお問い合わせください。
YubiKeyShop 正規代理店
Amazon
お問い合わせ
最後までお読みいただきありがとうございました。