2段階認証とは何か?どんなアカウントで使うべきか?

2014年6月17日

2段階認証については、このKaspersky Dailyで何度も詳しく取り上げたり、遠回しに触れたりしてきました。しかし、2段階認証をメインのトピックにして、どんなものなのか、どのような仕組みか、どういうときに使用するか、説明したことはこれまでありませんでした。

auth2-compressor

2段階認証とは何か

2段階認証は、さまざまなオンラインサービスで使われています。ユーザーに2種類の認証情報を要求することにより、アカウントへログインする際のセキュリティを強化するのが目的です。1段階目で要求される認証情報は、パスワードであることが一般的です。2段階目で要求される認証情報はさまざまですが、最も一般的なのは、SMSかメールで送られてくるコードです。2段階認証の根底にあるのは、ログインするには何かを「知って」いて、何かを「持って」いなければならない、という論理です。ですから、たとえば会社の仮想プライベートネットワーク(VPN)にアクセスするには、パスワードとUSBスティックが必要になります。

2段階認証はアカウント乗っ取り防止の万能薬ではありませんが、アカウントに侵入しようとする攻撃に対する強固な障壁にはなり得ます

2段階認証はアカウント乗っ取り防止の万能薬ではありませんが、アカウントに侵入しようとする攻撃に対する強固な障壁にはなり得ます。パスワードに大きな欠点があることは、周知のとおりです。ぜい弱なパスワードは覚えやすくても簡単に推測されてしまい、強力なパスワードは推測されにくい代わりに覚えるのが大変です。このため、パスワードを決めるのが苦手な人は、同じパスワードをあちこちで使い回しがちです。2段階認証が使われている場合、攻撃者は少なくとも、まずはパスワードを解読してからでないと第2の認証情報を手に入れられないようになっています。つまり、携帯電話を盗むか、メールアカウントに不正アクセスする必要があるのです。

パスワードに代わるものを模索する動きもありましたが、今のところ効果的な方法は現れていません。優れた2段階認証システムが、現時点で一番の防御策です。2段階認証システムのもう1つの長所は、特にメールやSMSでパスコードを受信するシステムの場合、何者かにパスワードを見破られたことを知らせてくれるという点にあります。これまでに1,000回くらいは書いたような気がしますが、2段階認証を設定したアカウントにログインしようとしていないのに、モバイルデバイスやメールアカウントにコードが届いた場合は、誰かがパスワードを解読して、そのアカウントの乗っ取りを企てた可能性が非常に高いと言えます。もしもこのようなことが起こったなら、パスワードを変えるときが来たということでしょう。

どのアカウントで2段階認証を使うべきか

2段階認証をいつ、どこで有効にするかの判断基準はシンプルです。検討対象のサービスが2段階認証に対応していて、そのアカウントが重要だと思う場合は有効にしてください。Pinterestはどうでしょうか?さあ・・・何とも言えません。もし、私がPinterestアカウントを持っていても、ログインするたびに2種類の認証情報を入力する手間はかけないと思います。しかし、インターネットバンキング、メインのメールアドレスとその補助用アドレス(特に、アカウントの復旧専用のメールアドレス)、大切なソーシャルネットワーク(FacebookやTwitter?)、そしてApple IDやiCloud、Androidデバイスを制御するためのアカウントなどは、2段階認証で保護する必要があります。

iCloudでの2段階認証の設定方法 – 動画

仕事関連のアカウントについても、2段階目の認証情報を要求するように設定したいものです。Webサイトを管理している人は、使っているのがWordPressであれ、GoDaddyであれ、NameCheapであれ、アカウントの防護強化を検討する必要があります。また、PayPal、eBay、eTradeなど、クレジットカードやデビットカードと関連付けられているアカウントについても2段階認証の設定をお勧めします。繰り返しになりますが、2段階認証を設定するかどうかの判断は、アカウントにアクセスできなくなった場合の損害がどのくらい大きいかを基準にしてください。

Facebookでの2段階認証の設定方法 – 動画

他にどんな種類の2段階認証があるのか

ここまで見てきたのは、パスワードに加えて、モバイルデバイスやメールアカウントに送信されるコード、またはVPNアクセス用のUSBスティックを使用する方法です。また、RSAのSecurIDのようなキーチェーンコード生成機器もあり、主に企業で使用されています。現時点では、これらが2段階認証の主流を占める形態ですが、もちろんほかの形態もあります。

トランザクション認証番号(TAN)は、やや旧式の認証要素です。TANはヨーロッパで広く使われていたもので、私は実際に使ったことはありませんが、私の理解が正しければ、銀行が(紙に出力した)TANのリストを顧客に郵送し、顧客はオンライン取引のたびに、リストにあるTANの1つを入力して認証を受けます。ATMも古い2段階認証の例です。この場合、利用者が「知って」いなければならないものは暗証番号で、「持って」いなければならないものはキャッシュカードです。

紙を使っていたときの話から未来の話になりますが、最近は生体情報を使った2段階認証が大きく注目されています。システムによっては、パスワードに加えて、指紋、虹彩スキャン、心拍などの生体情報を要求されることがあります。

また、ウェアラブルも勢いを増しており、ある種のRFチップが埋め込まれたブレスレットなど、特別なアクセサリーの着用を求めるシステムもあります。私が読んだ論文では、電磁気が用いられたタトゥーを、2つめの認証情報として使用できる可能性があるそうです。

GoogleとFacebookはいずれも、モバイルアプリ向けのコードジェネレータを提供しています。これを使って、SMSやメールのコードの代わりとなるワンタイムパスワードを独自に作成できます。

Gmailでの2段階認証の設定方法を説明する動画