ネットサービスを安全に利用するための対策、多要素認証、二要素認証、二段階認証、名称は似ていますが、意味は異なります。この違いを知ることは、使っているネットサービスの安全性の確認にもなるので有効です。
まず、認証の3つの要素を知っていることがポイントですね。
《認証の3要素》
1.知識要素・・・その人が知っている情報
ID/パスワード、PINコード、秘密の質問など
2.所有要素・・・その人が持っているものに付随する情報
スマートフォンを使ったSMS認証やアプリ認証、ICカード、
トークン(ワンタイムパスワードを生成する端末)など
3.生体要素・・・その人の身体的な情報
顔や指紋、虹彩(目の膜)、声紋、静脈のほか、位置情報も
生体要素に含まれます。
知識要素、所有要素、生体要素のうち、いずれか2つ以上の要素を使った認証が「多要素認証」です。2つの要素を使った本人認証が「二要素認証」。
なお、GoogleやAmazonなどのWebサービスの認証方式はよく”二段階認証”と言われますが、パスワードの”知識要素”に加え、登録したスマホでのセキュリティコードの”所有要素”の入力が必要なので”二要素認証”にもなります。正確には二要素認証と言ったほうが良いかもしれませんね。
多要素認証の流れ
①ID/パスワード(知識要素)でサービスにログイン
②所有しているスマホのアプリに、1回のみ使える「ワンタイムパスワード(所有要素)」が表示
③ワンタイムパスワードをサービスの該当画面に入力
④ログインが完了
■なぜ多要素認証が必要? 多要素認証は不正ログイン防止策
ID/パスワードによる本人認証方式(知識要素)のみを採用しているサービスでは、第三者にID/パスワードを知られた場合、個人情報流出やクレジットカードの不正利用にあう恐れがあります。
また、ユーザーが複数のサービスで同じID/パスワードを使い回すことで、1つのサービスからID・パスワードが流出した際に他のサービスでも不正が実行される可能性があります(パスワードリスト攻撃)。
多要素認証を取り入れれば、流出したID/パスワード(知識要素)でログインを試みた場合にも、所有要素や生体要素での認証を要求するため、簡単にはログインできません。
■ランサムウェア攻撃、多要素認証に遭遇すると諦めるケースも
以下の記事にあった内容です。
ランサムウェア攻撃、多要素認証に遭遇すると諦めるケースも - ZDNet Japan https://japan.zdnet.com/article/35191203/
『私たちはこれまで、捜査でランサムウェア犯罪グループを監視してきた。その際、一部の捜査で、犯罪グループが企業へのアクセスを試みたが、その過程で2要素認証に遭遇した途端にその標的への攻撃を諦め、次の標的に取りかかるところを目撃した』
(上記の記事から引用)
■
■ 多要素認証・二要素認証・二段階認証の違いとは
■
1.知識要素・・・その人が知っている情報
2.所有要素・・・その人が持っているものに付随する情報
3.生体要素・・・その人の身体的な情報
■多要素認証とは
多要素認証は、パソコンへのアクセス時やネットサービスへのログイン時などに、上記の認証の3要素の、2つ以上の"要素"によって行う認証。
■二要素認証とは
上記の認証の3要素の、2つの要素を使った本人認証のこと。多要素認証の一部です。
■二段階認証とは
認証の段階を2回経て認証しますが、上記の認証要素の数は問われません。
ID・パスワードでログインを行ったあと「秘密の質問」の答えを入力する認証方式は二段階認証ですが、「パスワード」と「秘密の質問」はいずれも知識要素のため、一要素の認証になります。
万一サイバー攻撃を受けた際は2つの知識要素が同時に流出する可能性があり、認証の"段階"が多ければ良いとはいえません。少なくとも二要素認証が必要ですね。
二段階認証と二要素認証は混同されやすいのですが、"二段階認証"と紹介されていても、認証の要素は1つだけである場合もあるので注意が必要です。
■
■ 多要素認証・二要素認証・二段階認証の例
■
■銀行のATM・・・二要素認証
通帳やキャッシュカード(所持認証)に加えて、暗証番号(知識認証)が利用されていますので、二要素認証になります。
■ネットバンキング・・・多段階認証に加え多要素認証
ネット銀行では、ログイン用の認証情報(IDまたは口座番号、パスワード)の知識認証に加え、秘密の質問、登録した連絡先への通知などによる多段階認証が実施。
なお、振込時にはSMSにワンタイムパスワード(所持認証)が送られ、多要素認証でセキュリティを確保。
■WebサービスのSMS認証
GoogleやAmazonなどのWebサービスでは、最近はパスワードの”知識要素”に加え、登録したスマホでの認証アプリのワンタイムパスワードや、SMS受信などの”所持要素”が求められるので、二段階認証及び二要素認証になります。
よく”二段階認証”と言われますが、”二要素認証”と言った方が正確かもしれません。