二要素認証とは何ですか?
二要素認証(2FA)とは、ウェブサイトやアプリケーションへのアクセスを許可するために、3つの認証要素のうち2つを組み合わせるユーザー本人確認方法です。
可能な認証要素は以下の通りです:
- ユーザが知っているもの
これは多くの場合、パスワード、パスフレーズ、PIN、または秘密の質問です。この認証チャレンジを満たすために、ユーザは、"あなたが生まれた町を 挙げてください "など、そのユーザが以前に組織に提供した答えと一致する情報を提供しな ければなりません。 - ユーザが持っているもの
ハードウェア認証装置によって生成されたワンタイムパスワードを入力します。ユーザは、命令に応じてワンタイムパスワードを生成する認証デバイスを持ち歩きます。その後、ユーザはこのコードを組織に提供することで認証します。今日、多くの組織が、ユーザのモバイル・デバイスにインストールできるソフトウェア認証機 器を提供しています。 - ユーザの何か
この第 3 の認証要素では、バイオメトリクス・データを使用した認証が必要です。これには、指紋スキャン、顔スキャン、行動バイオメトリクスなどがあります。 - インターネット・セキュリティにおいて、最も使用される認証要素は以下の通りです:
ユーザーが持っているもの(例:銀行カード)とユーザーが知っているもの(例:PINコード)。これが二要素認証です。二要素認証は、強力な認証、二段階認証、または2FAと呼ばれることもあります。
多要素認証(MFA)と二要素認証(2FA)の主な違いは、二要素認証は言葉通り、3つの認証要素のうち2つの組み合わせを利用しますが、多要素認証はこれらの認証要素のうち2つ以上を利用することができます。
パスワードでは不十分な点
二要素認証は、アカウント・セキュリティの必要かつ重要な部分となっています。なぜなら、サイバー犯罪が増加し進化しているため、パスワードはもはや信頼できないからです。過去10年間に相次いだ有名なデータ漏洩の後、多くのユーザー名とパスワードの組み合わせがすでにダークウェブで販売されています。組織はもはや、正しいパスワードを知っているだけでは、ユーザがアカウントにアクセスできるほど信用できないのです。
さらに、パスワードが脆弱な認証戦略になる要因として、人的要因やトレンドがあります:
- 脆弱なパスワード
脆弱なパスワード: 一般のユーザーにとって、セキュリティはしばしば視界に入らず、意識されないものです。個人としてサイバー犯罪の標的になる可能性は低いという誤った印象を与えます。そのため、ユーザーは「love1234」や「11111」のような弱いパスワードを選択することになります。 - パスワードの疲労:
モバイル・デバイスの所有者が増え続け、企業がデジタルトランスフォーメーションの取り組みを続けるにつれ、各ユーザーが覚えなければならないオンライン・アカウントの数も増えていきます。このようなユーザ名とパスワードの増加は、ユーザが複数のアカウントで同じパスワードを繰り返すことにつながります。
二要素認証の仕組み
アカウントにサインインすると、ユーザー名とパスワードを入力するよう求められます。これが最初の認証要素となります。
2つ目の認証要素には、以下を使用できます:
- ワンタイムパスコードまたはワンタイムパスワード(OTP)トークン
- モバイルデバイス(iPhone、Samsung、Google Pixelなど)の個人電話番号に送信される認証コード付きテキストメッセージ
- Google Authenticator (iOS and Android)やOneSpanモバイル認証機能などの認証機能付きスマートフォンアプリ
- USBまたはキーフォブ(手持ちのものなど)
ユーザー名とパスワードと組み合わせることで、より強固で弾力性のある追加セキュリティレイヤーとなります。ハードウェアトークンや認証アプリでこの追加ステップを踏むことは、攻撃者に複雑なハードルを提示するだけでなく、フィッシング攻撃、詐欺、個人情報盗難の被害者になるリスクを軽減します。
なぜ二要素認証が必要なのですか?
パスワードのような単一の認証方法だけでは、今日の高度な攻撃を阻止するには不十分だからです。
二要素認証は、ハッカーが個人のデバイスやオンラインアカウントにアクセスして個人情報を盗むことをより困難にする、二次的なセキュリティレイヤーを提供します。二要素認証を有効にすると、ハッカーが被害者のパスワードを知っていたとしても、認証は失敗し、不正アクセスを防ぐことができます。
二要素認証はまた、機密性の高いシステムやオンライン・データ、アカウントへのアクセス・コントロールの追加レベルを組織に提供し、盗まれたユーザー・パスワードで武装したハッカーによるデータ漏洩からデータを保護します。
消費者に対する明白かつ一般的な脅威は、攻撃者が被害者の名前で新しい口座を開設し、信用格付けに大きなダメージを与えることです。信用格付けは、自動車、住宅ローン、ビジネスローンなど、最も重要なライフスタイルの購入を決定する際に使用されるため、これは壊滅的な打撃を与える可能性があります。
まとめると、二要素認証は、パスワードが盗まれたり、電子メールアカウントが侵害されたりした場合に、そのリスクを軽減するのに役立ちます。
二要素認証はどこで使えますか?
経験則として、ユーザーは二要素認証が利用可能な場所であればどこでもオンにする必要があります。以下は、一般的に2FAをサポートするアプリケーションのリストです:
- オンラインバンキング
- オンラインショッピング(Amazon、PayPal、Google Play)
- 電子メール(Gmail、Microsoft、Yahoo、Outlook)
- クラウドストレージアカウント(Apple、Dropbox、Box)
- ソーシャルメディアネットワークのアカウント(Facebook、Instagram、LinkedIn、Tumblr、Twitter、snapchat)
- 生産性向上アプリ(Evernote、Trello)
- パスワードマネージャー(LastPass)
- コミュニケーションアプリ(MailChimp、Skype、Slack)
二要素認証の脆弱性
二要素認証は、他のセキュリティソリューションと同様に、サイバー犯罪者によって回避される可能性がありますが、ユーザー名とパスワードの場合よりもはるかに困難です。二要素認証を回避するためには、攻撃者は物理的なハードトークン認証装置を入手するか、ソフトウェア認証装置の場合は、認証装置によってデバイス上に生成されたトークンにアクセスする必要があります。攻撃者は、2 つの方法のいずれかを使用してこれを達成します。それぞれについて、この種の攻撃を防ぐために設計されたセキュリティ・ソリューションも紹介します:
- ソーシャル・エンジニアリング/フィッシング
ソーシャル・エンジニアリング/フィッシング: セキュリティ・システムの最大の脆弱性の 1 つは、その運用に携わる人間です。ソーシャル・エンジニアリングとフィッシングは、人間の要素を悪用するように設計された詐欺の手口です。電話、電子メール、その他のコミュニケーションで信頼できる組織や個人を装うことで、フィッシング詐欺師はユーザーを騙して機密情報を漏らそうとします。- 推奨ソリューションCronto
- マルウェア
悪意のあるソフトウェアは、さまざまな方法でデバイスから認証トークンを抽出することもできます。例えば、キーロギングを行うマルウェアは、ユーザが入力したキーストロークを追跡し、認証トークンをリモートで攻撃者に中継します。- 推奨されるソリューションモバイル・セキュリティ・スイートおよび/またはモバイル・アプリ・シールド
どうすれば始められますか?
OneSpanの二要素認証は、ワンタイムパスワード技術を使用してユーザーのログインを保護し、認証されたユーザーのみがアクセスできるようにします。OneSpanは以下のような認証ソリューションを提供しています: