本当に安全? 「二段階認証」のハナシ:今さら聞けない「認証」のハナシ(3/3 ページ)
私たちにとって身近になってきた「認証」の話。今更聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。
「認証の情報」は3種類
認証に使われる情報は次の3種類に分けられます。これは「認証の3要素」と呼ばれています。
- 知識(Something you know):あなたが知っていること
(例:パスワード、暗証番号、秘密の質問、パターンなど)
- 所有(Something you have):あなたが持っているもの
(例:ICカード、スマホアプリ、携帯電話用SIMカード(SMSメッセージ用)、ハードウェアトークン、USBトークンなど)
- 生体(Something you are):あなた自身のもの。身体的特徴
(例:指紋、顔、静脈、虹彩など)
先に挙げた二段階認証導入済みサービスをはじめ、ほとんどの二段階認証では、知識要素であるパスワードと、所有要素である「登録済みの自分の」スマホといった異なる2つの要素を利用しています。
二段階認証の各段階で使用する認証情報を別々の要素にすることで、「パスワードが分かっても、個人を特定してスマホを入手しなければならない」「スマホを入手したとしても、パスワードを推測しなければならない」といった具合に、不正利用者側の手間が増え、情報入手難易度が劇的に上がり、セキュリティ向上につながるわけです。
認証の3要素は、あくまでも「利用者が、利用者本人であることを確認する」本人特定のために使われるものです。
これ以外にも、「場所」「時間」「画像を正確に認識できるかどうか」などの要素があるのですが、これらは「その人物が正当な本人か」を識別するのには使用されません。あくまで利便性を上げるために補助的に使われたり、その利用者がどういう状況にあるかを識別するのに使われたりします。
皆さんも、認証を利用する際に、どの要素に当てはまる情報を使用しているのかを意識してみてください。
もし、一般のサービスや会社の業務システムで、「同じ要素を重ねて使用する二段階認証」を採用している(採用しようとしている)場合、それは手間やコストのわりに効果的ではないセキュリティ対策です。何らかの手を打ったほうが良いかもしれません。
まとめ
今回は、私たちにとって身近になってきた二段階認証や、認証情報の種類を指す「認証の3要素」について紹介しました。次回以降も、認証の安全性を高めるために知っておきたい内容や、認証システムを導入する企業担当者に役立つ話題などを取り上げていきます。
関連記事
- 「ゼルダの伝説 ブレス オブ ザ ワイルド」で学ぶ”所有物認証”
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第2回のテーマは「所有物認証」。 - 不正ログインどう防ぐ 最低限知っておきたいパスワード設定
きちんとしなければならないと思いつつも、面倒くさいのがパスワード管理。最低限押さえておくべきポイントをまとめました。 - 「パスワードだけ」は危険? Googleアカウントの防御力を上げる方法
私たちが頻繁に使う「Googleマップ」や「Gmail」などの機能。さまざまな情報とひも付くGoogleアカウントの管理は特に気を付けましょう。 - 「のばら」には脆弱性がある? 「ファイナルファンタジー」で学ぶ知識認証
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第1回のテーマは「合言葉」。 - 「佐川急便の偽サイト」に学ぶAndroidの防御法 見直す設定はたった1つ
佐川急便そっくりの偽サイトが登場し、被害に遭うユーザーが続出している。しかし、実はこれらはAndroid端末を対象にしたもの。簡単な設定を見直すだけでこれらの脅威から身を守ることができる。 - 「指紋認証するだけ」高額課金アプリに注意 キャンセルする方法は
高額課金を自動で継続するiOSアプリが問題になっている。指紋認証を使うと一瞬で課金登録されてしまうため、契約したことに気付かないユーザーもいたようだ。
Copyright © ITmedia, Inc. All Rights Reserved.