認証を強固にする

インターネットにおける IDとパスワードを使用したログインは、総当たり攻撃、辞書攻撃、リスト型攻撃によって見破られて 不正アクセスが行われる可能性があります。

このようなリスクを防ぐために、2段階認証があります。2段階認証とは、通常のIDとパスワードの他に もう一度認証を行う方法です。

このページでは、2段階認証、2要素認証、関連する用語について解説しています。

電話・ショートメール

例えば、IDとパスワードを使ってアカウントにログインするとします。

2段階認証にすると、IDとパスワードの入力後、さらにパスワードや番号 コードの入力をするよう画面に指示があります。

Google Googleアカウント 2段階認証。

ID・パスワード入力後に表示されます。


Google 登録している電話にかかってきます。

自動アナウンスで 「あなたのコード番号は ○○○です。」と流れます。その番号を入力します。


このコード番号を入力すれば、ログインすることができます。

2段階認証は、電話やショートメールサービス SMSなど利用しやすい方法を選択することができます。サイトによって多少の違いはありますが、基本的な流れは同じです。

Dropbox Dropboxアカウント 2段階認証。

登録している電話にショートメールが届きます。その番号を入力します。


電話もショートメールも、サイト側でコードは毎回変更されるため、特定の番号になっているわけではありません。

これらは携帯電話、つまり本人しか持っていないものに確認が来るため、非常に強固な認証方法になります。仮に第三者にIDとパスワードが知られたとしても、次の段階で本人確認があるということです。

また、もし心当たりがないのにサイトから2段階認証の電話やショートメールが来たら、第三者が不正アクセスを試みようとしている可能性が出てきます。

電話番号は主に、自宅や携帯電話の番号を登録することができます。頻繁にログインする自宅のパソコンなどでは 一度ログインすれば、2段階認証ではなく通常のログイン方法にすることもできます。この場合は、普段使用しているパソコンやデバイス以外からログインを行おうとすると、2段階認証になります。

2要素認証

認証方法は、要素により以下の3つに分けられます。

  • 本人の知っている情報による認証
  • 本人の持っている物による認証
  • 本人の特徴による認証

通常のIDとパスワードというのは、本人の知っている情報による認証です。知識認証ともいいます。IDとパスワードとは別に設定する「秘密の質問」などもこれにあたります。

携帯電話などに電話がかかってきたり、コードが送信されてくるのは、本人の持っている物による認証です。物的な認証ということができます。ネットバンクのトークンやセキュリティカード、ワンタイムパスワードはこれにあたります。

本人の特徴による認証は、生体認証、バイオメトリクス認証といわれるものです。指紋認証、虹彩認証などあります。パソコンの指紋認証はこれにあたります。

知識認証と物的認証、知識認証と生体認証などのように要素の異なるものを組み合わせて行う認証を、2要素認証、あるいは多要素認証といいます。

先程、例で紹介したGoogleとDropboxは、IDとパスワードの知識認証と携帯電話という物的な認証の組み合わせであり、2要素認証ということになります。

このように2段階認証というのは、要素を組み合わた2要素認証になっていることが多くなっています。

セキュリティが重視されるところ、例えばデータセンターなどでは、IDとパスワード、ICカード、生体認証など3つの要素が組み合わされて認証が行われることもあります。また、これらの認証に加えて監視カメラ、人的な監視なども行われているのが一般的です。

オプション

2段階認証は、基本的に追加の設定 オプションとして用意されていため、利用している人の判断で設定することが多くなっています。

前述の通りIDとパスワードだけでは不正アクセスのリスクがあります。住所、連絡先など登録しているサイト、影響が大きいと思われるサイトでは、2段階認証を設定できるかどうか確認するといいでしょう。

2段階認証を採用している主なサイトは、以下のようなところがあります。

  • Google・・・Google アカウント
  • Amazon・・・Amazon アカウント
  • Microsoft・・・Microsoft アカウント
  • Apple・・・Apple ID
  • Dropbox・・・Dropbox アカウント
  • Facebook・・・Facebook アカウント
  • Twitter・・・Twitter アカウント

今後、2段階認証を採用するWbeサイト・企業は増えてくると考えられます。また2段階認証を導入していない Webサービスなどでは、パスワードを単純な英数字の組み合わせではなく、英数字、大文字・小文字、記号などを組み合わせて設定する、他のWebサイトで使っているパスワードとは異なるものにするというのが一般的です。