二段階認証と二要素認証の違い
一連の不正引き出しの問題におけるゆうちょ銀行の記者会見において、今後の対策として「二要素認証の導入に取り組む」という話が出ました。
「二段階認証」とよく混同されますが少し意味の違う言葉で、簡単に言うとパスワード認証(本人しか知らない情報で本人確認する)以外の認証方法も使うという話です。
本人の知識(パスワード)以外の要素で認証を行うことで、本人のなりすましがしにくくなるメリットがあります。
パスワード以外の認証方法としては、SMS認証(電話番号で認証)やワンタイムパスワード(パスワード生成カード)、スマートフォンの指紋認証や顔認証機能などが挙げられます。
関連記事
セキュリティ対策は多要素が基本
「二段階認証」というのは単純に2回認証を行うという意味で、複数回認証を行う(鍵の数を増やす)ことでセキュリティレベルを高くするという考え方です。
最近は減りましたがパスワード以外に「秘密の質問」を設定している認証の場合も二段階認証になります。
ただ秘密の質問も答えが漏洩してしまうとパスワード同様なりすましがしやすく、セキュリティ対策としては手間がかかる割に有効性はそれほど高くありません。
なので知識以外の別の要素で認証を行う(鍵の種類を増やす)ことで安全性を高めるという考え方が今は主流であり、二要素認証(多要素認証)の話に繋がります。
認証の種類
一般的に認証を要素で考える場合、以下のように分類されます
- 知識認証 本人しか知らない情報で本人確認を行う(パスワード等)
- 所持認証 持ち物で本人確認を行う(SMS認証、パスワード生成カード)
- 生体認証 指紋や目の虹彩など生体情報で本人確認を行う(指紋認証、顔認証)
これらの分類のうち二つの種類を利用する認証方法が、二要素認証と呼ばれます。
SMS認証(電話番号宛に送られてくるパスワードを入力する方法)は電話番号を所持していることを確認しているので所持認証に分類され、パスワードとSMS認証で二要素認証になります。
手間と安全性のバランス
数字4桁と短いにもかかわらず銀行のキャッシュカードの暗証番号が有効に作用しているのは、ATMなどで知識認証(パスワード)と所持認証(キャッシュカード)の二要素で認証している点があります。
今回の不正引き出し事件の報道でセキュリティ対策が甘い金融機関が狙われたという話は、各決済サービスへ口座振替の手続きを行う際に知識認証(パスワード)だけに頼っていたのではないかという話です。
一連の不正引き出しに関しては金融機関が被害の全額補償を発表しており、口座振替の手続きも今後はSMS認証などが必須になって、これまでより安全性は高くなります。
ただし所持認証を実施していても、その所有物(スマートフォン本体など)を盗まれてしまうと意味がなくなる点はセキュリティの知識として抑えておいてください。
キャッシュカードを盗まれた場合ほど危険性は高くないですが、口座情報(パスワードを含む)と電話番号(スマートフォン)がセットになると決済手段として使えてしまいます。
少し使い勝手が悪くなりますが万が一スマートフォンを盗まれてた場合の対策として、スマートフォンの画面ロック機能などを積極的に利用してください。
関連記事