ITmedia NEWS > セキュリティ >
ニュース
» 2019年04月08日 07時00分 公開

今さら聞けない「認証」のハナシ:SMS認証の仕組みと危険性、「TOTP」とは? 「所有物認証」のハナシ (1/3)

専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回はパスワード以外の「所有物認証」について。

[鳥羽信一,ITmedia]

 ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。

 本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。

連載:今さら聞けない「認証」のハナシ

専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介します。

執筆は、業務用の「トークンレス・ワンタイムパスワード」認証システム「PassLogic」や、一般向けにパスワード管理アプリ「PassClip」を提供する認証セキュリティ専門企業、パスロジの鳥羽信一氏。

(編集:ITmedia村上)

本題の前に一言「パスワードの平文保存は絶対ダメ!」

 先日、Facebookが一部の利用者(数億人!)のパスワードを平文、つまり誰でも読める状態で保存していたというニュースがありました。この事件の何がどのくらいマズイのか、利用者側ではどうするべきなのかに関するコラムも掲載されています。

 要は、Facebook利用者のパスワードはFacebook社員に筒抜けだったということです。「誰かが意図的に悪用したり、不正にアクセスした形跡も見つかっていない」と発表されていますが、「2万人いる従業員全員に悪意がなく、絶対に悪用しない」というのは、どうにも信用しづらいのではないでしょうか。何とも残念で、恐ろしい状況です。

 そして、この「パスワードデータの平文保存」は、以前に報じられた「宅ふぁいる便」の事件のように、他のサービスでも発生しています。

 サービス側にも改善を進めてほしいのですが、それを待っていても、らちがあきません。上記のコラムにあるように、私たちのパスワードはもはや「既に知られているもの」と考えて、自ら対策すべきでしょう。

サービス提供者が打ち出す対策

 サービスの利用者側で自主的に行うべき対策は、何度も言いますが「パスワードを使い回さないこと」です。対して、サービス側でも先進的な大手インターネットサービスや、顧客の資産を預かる銀行のインターネットバンキングでは、利用者が任意(もしくは強制)で利用する対策方法を用意しています。

 それが「二段階認証(もしくは二要素認証)」です。パスワードだけに頼らず、別の認証方法を追加し、二段階で認証することで不正ログインを防ぎます。

 現状では大抵、この二段階目に利用される要素は「認証の3要素」のうちの「あなたが持っているモノ」つまり「所有物」要素となっています。

 今回は、所有物認証の中で現状のサービスに採用されている方式について、その仕組みと扱う際の注意点をメリットとデメリットを交えて紹介します。これから自社サービスに二段階認証を導入しようと考えている方だけでなく、リモートワークの実現にあたって業務システムの認証を強化したい情報システム部門などにも役立つ内容が含まれていると思います。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.