昨今、様々な情報漏洩やセキュリティ事故のニュースをよく耳にします。
特に「なりすまし」や「アカウントの乗っ取り」といった不正ログインが昔以上に身近な現象として発生するようになってきたように感じています。
特にIDとパスワードについてはどんなものも「絶対に流出していない」「特定されない」と言い切るのは難しいのが昨今の現状です。
そんな中で普及しつつある、多要素認証と呼ばれる仕組みについて今回はご説明します。
認証要素
そもそも、認証の要素には3つの種類が定義されています。
多要素認証
多要素認証は、上記の①~③を2つ以上組み合わせた認証方式です。
たとえば、以下のような例があります。
「キャッシュカードを入れて暗証番号を入力する(②+①)」 「ID/パスワードでのログイン後に、スマホへSMSで送信された認証コードを入力する(①+②)」 「ICカードをかざしたあとに指紋認証が必要(②+③)」 「スマホの認証アプリでPIN発行+アプリ起動時の顔認証(②+③)」
こうして認証要素を増やすことで、たとえば「IDとパスワードが流出した」、「カードを紛失した」など1つだけの事故であれば、不正ログインを防ぐことができます。
2段階認証
多要素認証に似た言葉で2段階認証というものがあります。
こちらは定義としては、認証要素が重複していても良い、ということになっています。
たとえば、「ID/パスワードを入力後、秘密の質問へ答える」というのは昔からある2段階認証ですが、
こちらはどちらも①知識要素の認証です。
そのため、これらの情報がまとめて流出してしまえば不正ログインができてしまいます。
単なるIDとパスワードよりは強固ですが、やはり上述の多要素認証よりはセキュリティ面で劣ります
まとめ
少し前まではウェブサービスで多要素認証を導入しようとするとSMSを送信するか、USBサイズのワンタイムトークン機を使う必要がありました。
しかし、最近ではスマートフォンでの認証アプリによって、スマートフォンによる所持要素と、スマートフォンの持つ生体要素の認証が比較的容易に利用できるようになってきています。
大手IT企業が認証アプリを提供していることもあり、金融系サービスやサーバーへのアクセスのようなインフラ系を筆頭に、多要素認証が導入済みになっているサービスがぐっと増えた印象です。
利用者としてはアクセスまでの手間が増えて面倒ではあるのですが、ID・パスワードのみに比べて圧倒的にセキュリティが高いため、今後も増えていくのではないかと思います。
NEXT>>