ネットサービスを安全に活用 多要素認証・二要素認証・二段階認証の違いとは

ネットサービスを安全に利用するための対策、多要素認証、二要素認証、二段階認証、名称は似ていますが、意味は異なります。この違いを知ることは、使っているネットサービスの安全性の確認にもなるので有効です。

 

まず、認証の3つの要素を知っていることがポイントですね。

《認証の3要素》

1.知識要素・・・その人が知っている情報

 ID/パスワード、PINコード、秘密の質問など

2.所有要素・・・その人が持っているものに付随する情報

 スマートフォンを使ったSMS認証やアプリ認証、ICカード、

 トークン(ワンタイムパスワードを生成する端末)など

3.生体要素・・・その人の身体的な情報

 顔や指紋、虹彩(目の膜)、声紋、静脈のほか、位置情報も

 生体要素に含まれます。

 

知識要素、所有要素、生体要素のうち、いずれか2つ以上の要素を使った認証が「多要素認証」です。2つの要素を使った本人認証が「二要素認証」

 

なお、GoogleやAmazonなどのWebサービスの認証方式はよく”二段階認証”と言われますが、パスワードの”知識要素”に加え、登録したスマホでのセキュリティコードの”所有要素”の入力が必要なので”二要素認証”にもなります。正確には二要素認証と言ったほうが良いかもしれませんね。

 

多要素認証の流れ
①ID/パスワード(知識要素)でサービスにログイン

②所有しているスマホのアプリに、1回のみ使える「ワンタイムパスワード(所有要素)」が表示
③ワンタイムパスワードをサービスの該当画面に入力

④ログインが完了

 

■なぜ多要素認証が必要? 多要素認証は不正ログイン防止策

ID/パスワードによる本人認証方式(知識要素)のみを採用しているサービスでは、第三者にID/パスワードを知られた場合、個人情報流出やクレジットカードの不正利用にあう恐れがあります。

また、ユーザーが複数のサービスで同じID/パスワードを使い回すことで、1つのサービスからID・パスワードが流出した際に他のサービスでも不正が実行される可能性があります(パスワードリスト攻撃)。
    
多要素認証を取り入れれば、流出したID/パスワード(知識要素)でログインを試みた場合にも、所有要素や生体要素での認証を要求するため、簡単にはログインできません。

 

■ランサムウェア攻撃、多要素認証に遭遇すると諦めるケースも

以下の記事にあった内容です。

 

ランサムウェア攻撃、多要素認証に遭遇すると諦めるケースも - ZDNet Japan https://japan.zdnet.com/article/35191203/

 

『私たちはこれまで、捜査でランサムウェア犯罪グループを監視してきた。その際、一部の捜査で、犯罪グループが企業へのアクセスを試みたが、その過程で2要素認証に遭遇した途端にその標的への攻撃を諦め、次の標的に取りかかるところを目撃した』

(上記の記事から引用)

 

■ 多要素認証・二要素認証・二段階認証の違いとは

1.知識要素・・・その人が知っている情報

2.所有要素・・・その人が持っているものに付随する情報

3.生体要素・・・その人の身体的な情報

 

■多要素認証とは

多要素認証は、パソコンへのアクセス時やネットサービスへのログイン時などに、上記の認証の3要素の、2つ以上の"要素"によって行う認証。

 

■二要素認証とは

上記の認証の3要素の、2つの要素を使った本人認証のこと。多要素認証の一部です。

 

■二段階認証とは

認証の段階を2回経て認証しますが、上記の認証要素の数は問われません。

 

ID・パスワードでログインを行ったあと「秘密の質問」の答えを入力する認証方式は二段階認証ですが、「パスワード」と「秘密の質問」はいずれも知識要素のため、一要素の認証になります。

万一サイバー攻撃を受けた際は2つの知識要素が同時に流出する可能性があり、認証の"段階"が多ければ良いとはいえません。少なくとも二要素認証が必要ですね。

二段階認証と二要素認証は混同されやすいのですが、"二段階認証"と紹介されていても、認証の要素は1つだけである場合もあるので注意が必要です。

 

■ 多要素認証・二要素認証・二段階認証の例

 

■銀行のATM・・・二要素認証
通帳やキャッシュカード(所持認証)に加えて、暗証番号(知識認証)が利用されていますので、二要素認証になります。

 

■ネットバンキング・・・多段階認証に加え多要素認証

ネット銀行では、ログイン用の認証情報(IDまたは口座番号、パスワード)の知識認証に加え、秘密の質問、登録した連絡先への通知などによる多段階認証が実施。

なお、振込時にはSMSにワンタイムパスワード(所持認証)が送られ、多要素認証でセキュリティを確保。

 

■WebサービスのSMS認証
GoogleやAmazonなどのWebサービスでは、最近はパスワードの”知識要素”に加え、登録したスマホでの認証アプリのワンタイムパスワードや、SMS受信などの”所持要素”が求められるので、二段階認証及び二要素認証になります。

よく”二段階認証”と言われますが、”二要素認証”と言った方が正確かもしれません。