2段階認証もリスクベース認証の1つだ。これは、認証を2段階にすることでセキュリティレベルを高めるというもの。よく使われるのが、ID・パスワードに加えて、登録した携帯番号にSMSを送信して、そこに記載された1回だけ有効な数字を入力させる、というものだ。
こうした一定時間、1回だけ有効の数字などを使う仕組みを「ワンタイムパスワード(OTP)」という。スマートフォンアプリでOTPを表示したり、専用デバイスを使ったりして入力させる仕組みもよく使われる。
一方で2要素認証は、パスワードや暗証番号などの「記憶認証」、乱数表やトークンなどの「所持認証」、指紋や虹彩などの「生体認証」のうち、2つを組み合わせた認証のこと。
2要素認証の代表格がキャッシュカードとATMだ。ATMでお金を下ろす際に、「当人しか持っていないキャッシュカード(所持認証)」と「当人しか知り得ない暗証番号(記憶認証)」によってお金を引き出せる。暗証番号が4桁で成立するのは、物理カードであるキャッシュカードが本人の手元にあるという前提がある上に、直接ATMの前に行かなければいけないからだ。そのため、カードが盗まれれば4桁の暗証番号は脆弱だし(とはいえ総当たりはできない)、オンラインの認証でカードを使わずに暗証番号だけですませようとすると簡単に突破されてしまう。
先に説明したID・パスワードとSMSを使った2段階認証は、ID・パスワードによる記憶認証、SMSの送付先である携帯電話による所持認証を行っているので、2要素認証にもなる。一方で、事前に設定した質問に答えることで本人確認をする「秘密の質問」を併用する場合は、どちらも記憶認証に該当するため、2段階認証ではあるが、2要素認証にはならない。
身元確認をした上で携帯番号を登録したサイトが、認証時にその番号にSMSを送信する場合、その番号は本人のものである確度が高く、SMSを受信できる端末を持っているのは当人と判断できる。パスワードを突破されても、SMSでOTPを送信すれば、当人かどうかがより確実に判断できる、というわけだ。
SMS認証で大事なのは「身元確認時に登録した電話番号」という点だ。その場合、SMS認証は本人確認(当人認証)の1要素として利用できる。しかし、身元を隠してSMSが受信できる携帯番号の取得自体は可能であり、他人が勝手に携帯番号を登録してしまえば、SMSを送信しても当人認証にはならない。
2要素認証かつ2段階認証が本人確認として最もセキュリティレベルの高い手法というわけではない。ドコモ口座の不正出金に端を発した事件の拡大を受けて、銀行、キャッシュレス決済事業者は早期に対策を打ち出す必要があり、よく使われている2段階・2要素認証を採用したのだろう。
セキュリティレベルやユーザー体験として、これらの仕組みは決定版とはいえないので、今後さらに安全で使いやすいログイン認証の手段が採用されることを期待したい。
Copyright © ITmedia, Inc. All Rights Reserved.