少し前に、スマホ決済アプリの脆弱性問題が大きな話題となっていましたね。
その中で、「二段階認証」という仕組みが導入されていなかった件について、問題視されていましたが、そもそも二段階認証とは何でしょうか。
今回は、二段階認証についてお話したいと思います。
二段階認証とは
二段階認証が導入されていないログインの場合、ユーザーID(またはメールアドレス等)とパスワードを入力し、認証が成功すればログインした状態となりサービスを利用することが出来ます。
二段階認証の場合、ユーザーIDとパスワードを入力した後、同じ方法(ユーザーIDとパスワードの組み合わせ)または別の方法で再度認証処理を行います。
つまり、最初にユーザーIDとパスワードで認証した後、もう一段階認証処理を行うのが、二段階認証になります。
似たような用語で、二要素(多要素)認証というものがありますが、ログイン時のユーザーIDとパスワードとは全く違う要素で認証を行うのが、二要素(多要素)認証になります。
ログイン後SMSや登録済みのメールアドレスに、番号が記載されているメールが送られてきて、入力画面に送られてきた番号を入力してログインするといった方法は、一般的によく使われているかと思います。
二段階認証のメリット
二段階認証をユーザーが導入することにより、第三者が不正にログインを行なった場合、本人しかわからない情報を求められるため、不正なログインを防ぐことが出来ます。
特に、二要素認証の場合(ほとんどの二段階認証は二要素だと思いますが)、一時的に発行されたコードを利用したりするため、不正にログインされる確率を更に低くする事が出来ます。
今回のスマホ決済アプリの不正利用に関しては、リスト攻撃というユーザーIDとパスワードのリストから、総当りされてログインされていたようですが、二段階認証を導入していれば、攻撃時にユーザーIDとパスワードの組み合わせで認証が通ったとしても、他の要素での認証が必要になるため、不正ログインを防げたのではないかと思われます。
二段階認証のデメリット
二段階認証のデメリットとしては、認証に利用している機器(携帯電話やワンタイムパスワード発行機器)を紛失したり故障してしまったりすると、ログインができなくなってしまいます。
また、二段階認証をユーザーに利用してもらうまでのハードルはやや高いと思われます。
WebAuthnを使った認証
このように、二段階認証の仕組みを利用しても、認証の煩わしさやID/パスワードの組み合わせによる認証はユーザーにとって大きな負荷となっています。
この負荷を解決するために、WebAuthnという仕組みが登場しました。
FIDOという認証の標準を策定する団体とW3CというWEB技術を標準化する団体により、Webで認証機器を使った認証の仕組みが作られました。
一般的には、認証機器は指紋などの生体認証を行う機器になります。
昨年10月には、Yahoo!が指紋によるログイン機能の実装を行いました。
生体認証を取り入れることにより、ユーザーはパスワードを記憶する必要がなくなり、漏洩されにくく安全な認証を行うことが可能になります。
このようなパスワードレスな認証は、WEBの事例としてはまだまだ少ないですが、スマートフォンによる指紋認証なども普及し始めているので、今後はこのような認証処理が中心となっていくと思います。
