INDEX
二段階認証ってなに?
2019年7月の7Payの不正アクセス問題の際にセブンイレブン側が二段階認証を知らなかったニュースは記憶に新しいと思います。
IT界隈であのニュースはかなりの衝撃がありました。
結論からお話しますと、、、
いわゆる、皆様が思っている二段階認証という認識は少し間違っていています。
概要として大枠はあっていますが、重要なのは認証を二段階にすることではなく認証する要素を多要素にすることが重要なのです。
みんなが思う二段階認証とは?
・IDとパスワードを入力し認証を行う (一段階目の認証)
・次に、IDとパスワード以外のものを入力して認証(SMSなどのランダムの数字など)を行う (二段階目の認証)
・これらを通過するとログインできる。
二段階認証ではセキュリティが上がらない?
二段階であることはセキュリティ向上にはならないとのこと。
アメリカの国立の研究所であるNIST (米国標準技術研究所)によると二段階認証の価値を全く認めていません。
二段階であればいいだけですと下記でも成り立ちます。
・ID・パスワード認証後、秘密の質問の選択
・ID・パスワード認証後、別の・ID・パスワードを入力認証
こちらでも二段階なため二段階認証の要件はクリアしています。
重要なのは二段階ではなく二要素
では、何が重要なのかというと二要素、多要素であることです。
先程のいわゆる二段階認証の例で言いますとスマホにSMSや電話を掛けるといったスマホというデバイスが必要なため二要素になります。
では、ここで言う要素とは?
認証についての要素の種類は主に下記3つです。
・知識認証:本人だけが知っている記憶で認証
例:IDEA、パスワード、PINコード
・所有物認証:本人の持っている物(=所有物)で認証
例:ICカード、キャッシュカード、ワンタイムパスワード用トークン(ハードウェア・ソフトウェア)
・生体認証:本人の身体的特徴で認証
例:指紋、顔、静脈、虹彩
これが複数含まれている認証方法が二要素認証や多要素認証です。
なぜ、二段階認証と二要素認証が混同して使用されているのか?
これは、おそらくスマホを使用して認証する際に、ID・パスワードで認証したあとに認証先から送られてくるコードなどを二度目に行うという形式的な所から二段階認証と呼ばれているのではないでしょうか?
今後、○○ペイ系が更に日常的に使用されてくると思うのでセキュリティには気をつけなければいけない世の中になりそうです。
ただ、ハッキングは結構アナログな感じで行われたりもするのでメモを取ったり、全部同じパスワードにしてしまうとかはベタに避けたほうが良いです。