多要素認証とは何か？なぜ大切なのか？

トップページ＞セキュリティ(security) ＞多要素認証とは何か？なぜ大切なのか？

スポンサードリンク

多要素認証とは？

認証の3要素

認証手段として、要素を大きく3つに分類することがあります。

1. 所持認証：利用者のみが持っている情報。ICカードやスマートフォンで生成するOTP（ワンタイムパスワード）など
2. 知識認証：利用者のみが知っている情報。パスワードやPINコードなど
3. 存在認証：利用者自身の特徴の情報。主に指紋認証や顔認証、虹彩認証など

これらの要素を組み合わせた認証が多要素認証です。二要素認証という言葉の方が馴染みがあるかもしれません。また、似たような言葉で「二段階認証」というものがあり、これは2ステップで認証を行うもので、以下の関係性となります。

段階を踏んで行う二要素認証→二段階認証

e.g. パスワード認証後（知識認証）スマホで生成したワンタイムトークンを入力（所持認証）

一つの要素で二段階の認証≠二要素認証

e..g. パスワード入力（知識認証）後に秘密の質問入力（知識認証）

多要素認証の必要性

パスワードの限界

2017年6月、アメリカの国立標準技術研究所（NIST：National Institute of Standards and Technology）が電子的デジタルIDの認証のガイドラインにおいて、パスワードの定期変更をユーザーに強制すべきではないとしたり、パスワードの代わりにパスフレーズを推奨したりと、パスワード認証に関する定説に大きな変化がありました。

コンピュータの処理能力が飛躍的に向上する中で、攻撃者はあらゆる文字の組み合わせを表にまとめており、「レインボーテーブル」と呼ばれます。現在12文字未満のパスワードは危険です。

また、パスワードを管理するパスワードが増え、パスワードを使いまわすことが多いこと、定期的な変更も使いまわしや容易な規則性を生みやすいことも大きな問題とされています。

多要素認証が防げるサイバー攻撃

以下に抜粋するものはID・パスワードを突破する不正ログインの攻撃手法です。二要素認証は現状これらの攻撃に対する有効ななセキュリティ対策となります（二要素認証を突破する手法も出て来てはいますが…）。

パスワードリスト攻撃（アカウントリスト攻撃）

攻撃対象とは違うサービスから攻撃者が入手・流出（リスト化）したID（アカウント）とパスワードで、他のWEBサービスなどにアクセスをし、利用者のアカウントで不正ログインする攻撃です。何らかの攻撃や事故、セキュリティの弱いサービス等から漏えいした情報や、フィッシング攻撃（偽のログインページにID・パスを入力させる）などで攻撃者は情報を集めます。

ブルートフォースアタック（総当たり攻撃）

IDを固定してパスワードを総当たりで解読していこうとする攻撃です。パスワードなどを力ずく（総当たり攻撃）で片っ端から試して見つけるという意味です。単純なパスワード（最近私は142個のパスワードの1つは「123456」だったという記事を読みました）だとすぐに破られてしまいます。

リバースブルートフォースアタック（逆総当たり攻撃）

ブルートフォースアタックが、IDを固定してパスワードを総当たりで解読していこうとするのに対して、リバースブルートフォースアタックは、パスワードを固定してIDを変更して解読していこうとする攻撃です。

ブルートフォース攻撃では何回もログインが施行されればアカウントをロックするという方法がありますが、こちらではそれが通用しません。公私ともにパスワードはある程度複雑で、可能であれば12桁以上のものを設定しましょう。

最後に

二要素認証に限らず、利便性とセキュリティはトレードオフの関係にあります。設定や手間に「うざい」「面倒」の気持ちもあるかもしれません。しかし、面倒だという理由でセキュリティ設定を怠ったばかりに、セキュリティ事故が起こってしまうと、その対応の方が、はるかにコストがかかります。一時的な感覚に左右されず、長期的に考えて対策することが大切です。

UPPER SYSTEM

スポンサードリンク