- 二段階認証は“1→2”で、二要素認証は“A+B”だ!
- 知識認証・所有認証・生体認証が3要素だ!
- もはやパスワードだけではセキュリティーは危険!
パスワードレスが理想かも。
先日、Googleのセキュリティーキー『Titan Security Key』を購入したので、改めて『二段階認証』と『二要素認証』とは何か、そして『FIDO』とは何かを勉強したメモ的記事です。
何って…パスワードじゃないのー!?
実は、それは認証要素の“1つにすぎない”のですわ。
目次
はじめに
始めに『認証の3要素』とは何かをお勉強。
二段階認証と二要素認証の違いを知る前に、あらかじめ知っておくべきなのが、サービス認証の要素には“3つ”あるということ。そして、パスワードでの認証はその要素の1つにすぎないということです。
認証の3要素
| 認証手段 | 概要 | 例 |
| 知識認証 | 本人だけが知っている知識や情報 | パスワード PINコード |
| 所有認証 | 本人だけが持っている物 | ICカード トークン セキュリティーキー キャッシュカード |
| 生体認証 | 本人だけにある身体的特徴 | 指紋 静脈 虹彩 顔 |
認証の3要素とその例。
上記の3つを『認証の3要素』といい、私たちはこれらの認証の3要素のうち1つ、または複数を使って、サービスのログインやネットバンキングでのお金の送金等を行っているのです。
じゃあ、パスワードを使ってログインってのは、ずっと『知識認証』だけを使っていたってことだねー?
そういうことですね。
知識認証しか使わない時代の終焉
ここは四方山話なので、簡単に流します。
先程の『認証の3要素』をご覧になって思った人もいるでしょうが、私たちは長らく、何かに認証する際に知識認証“だけ”使っていました。つまり、パスワードでログインという形です。
パスワードを長くすれば安全…という神話も崩れ始め(無論、8桁以上の英数字混合が好ましい)、SNSやQRコード決済でのハッキング(クラッキング)被害が出始めている。だからこそ、『二段階認証』や『二要素認証』という言葉がピックアップされ始めているということだったりする。
二段階認証と二要素認証の違い
二段階認証と二要素認証の違いの例。
認証に使っている『認証の3要素』を知ったところで、いよいよ『二段階認証』と『二要素認証』とは何かと違いについて調べてみました。
■二段階認証
- 【1】パスワード(知識)
- 【2】認証コード
2FA:【1】 → 【2】
■二要素認証
- 【A】パスワード(知識)
- 【B】セキュリティーキー(所持)
- 【C】指紋認証(生体)
2UF:【A】+【B】
UAF:【B】+【C】
かなり簡潔に『二段階認証』と『二要素認証』をまとめてしまうと上記のとおり。省いている感はありますが、ざっくりとイメージするとこんな感じだったりします。
なお、『2FA』は二段階認証の略称のことで、『2UF』と『UAF』とはFIDOという生体認証技術の標準規格団体(後述します)が定める認証プロトコルの名称です。
違いのキモは、“組み合わせ”と“フロー”ですね。
二段階認証とは?
■二段階認証の例
- パスワード入力後にSMS認証を行う。
- パスワード入力後に送られてきたPINを入力する。
『二段階認証』を簡単に言ってしまうと、認証プロセスを“2回”に分けているということ。
よくあるパターンとして、ログイン時にパスワードを入力(一段階め)して、その後あらかじめ登録していた端末やメールアドレス宛にSMSやメールに送られてきたコードを入力する(二段階め)というものです。
最近よく見かけるパターンの認証方法だねっ!
二要素認証とは?
■二要素認証の例
- オンラインバンクのパスワード入力+トークン入力。
- Googleアカウントへのパスワード+Titan Security Key。
『二要素認証』を簡単に言ってしまうと、認証の3要素のうち、異なる2つの認証要素を組み合わせたものです。
改めて認証の3要素を見てみると、
- 【A】:知識認証
- 【B】:所有認証
- 【C】:生体認証
という3つでした。
これを踏まえて、オンラインバンクの例を見ると、取引時にパスワードを入力するのは【A】の知識認証で、60秒だけ有効なトークンの数値を入力するのは【B】の所有認証となります。つまり【A】と【B】を用いているので、二要素認証と言えます。
また、Googleのログインする場合のセキュリティーキーを使った場合も同様。パスワードは【A】の知識認証で、Titan Security Keyは【B】の所有認証になります。だから、Titan Security Keyを使うと、Googleの認証が二要素認証により強固になるというわけです。
この二要素認証は、“異なる”2つの認証要素の組み合わせなので、
【A】 + 【A】
という知識認証の組み合わせなどは、二要素認証とは呼ばないので注意。
認証の3要素から2つを組み合わせなら、二要素認証の種類は“3C2”だから3通りあるはずやんね!
理論上はそうなりますが、実際には『UAF』と『U2F』の2つが二要素認証の主流のようですわ。
『FIDO』と3つの認証プロトコル
このようなより強固な認証技術を作っていく上で、『FIDO』(FIDO Alliance)という、生体認証などを利用した新しいオンライン認証技術の標準化を取り決める団体が存在します。
この『FIDO』自体の意味は、素早いオンライン認証(Fast IDentity Online)の略のようですわ。
このFIDO Allianceは、パスワードレスの認証を押し薦めているようで、FIDOの『UAF』や『FIDO2』というプロトコルは、私たちがパスワードを入力することなく認証が可能です。
■FIDOの認証プロトコル
- UAF:生体認証 + トークン
- U2F:パスワード + IC・トークン
- FIDO2:IC・PIN・生体認証
これら3つの認証プロトコルは、すべて最終的には『公開鍵暗号方式』(暗号用の鍵と復号用の鍵が異なる方式)で認証します。
以前紹介した、GoogleのTitan Security Keyでの認証は『U2F』プロトコルでの認証なので、完全なパスワードレスにはならない。ユーザーとしては不便ではありますが…まぁ、より強固なセキュリティーなのは理解できたはず。
最後が適当だぞー!?
いろいろセキュリティー関係の企業の情報を見ていると、これ以上の解説はそちらを見てもらったほうが確実だと思ったので…。(記事最後のSourceで参照してください)
まとめ「パスワードだけの認証は危険かもしれない!?」
とどのつまり、
- 認証の3要素:知識認証・所有認証・生体認証
- 二段階認証:パスワード → PIN
- 二要素認証:認証の3要素の組み合わせ
- FIDO:オンライン認証技術の標準規格団体
ということです。
あと、感じたのが、もはやパスワード神話は崩壊しているということ。従来のパスワードはネットに鍵が保管されているので、やはりリスクが出てくる。近いうちに、パスワードレス認証がスタンダードになるかもしれません。
普及のカギは、FIDOがどこまで普及させてくれるか…ですね。
おまけ
…難しいです。
うーん…セキュリティーは奥が深いよねー。
一般に認知してもらうためには、もう少し分かりやすくなれば、なのですがね。
おわり
Source:飛天ジャパン, ネットワンシステムズ
![Windows 10初期設定時の“謎の黒画面”はTPMクリア。[ F12 ]でクリア・[ Esc ]で非クリア](https://mupon.net/wp-content/uploads/wordpress-popular-posts/17674-featured-120x80.jpg)
まずは認証に“何を使っているか”から勉強して、そこから各種認証技術について調べてみました。