二要素認証の使用は不便な側面があることは否めない。しかし、セキュリティ観点からの効果の高さは不便さを補ってあまりあるものだ。この記事では、二要素認証をめぐる実状について解説する。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
ここ数年間、セキュリティ侵害が数多く発生したことで、改めてインターネット上での安全性をどう確保すべきかを再考させられることとなった。ほとんどのデジタルアカウントは、パスワードを使用して保護するのが一般的な方法でもあり、疑念の余地はないはずだ。しかし、保護すべきアカウントが数十という単位にとどまらず、数百におよぶということが問題を厄介なものにしている。こうした問題にどう対処すべきだろうか。この記事をご覧になっている方で、利用しているアカウントそれぞれに個別のパスワードを設定しているという人はいるだろうか。
おそらく、ほとんどの人がその問いに「No」と答えるだろうが、それは驚くに値しない。パスワードを記憶しやすくするために、パスワードを単純にする人も少なくない。2018年に最も多く使用されたパスワードとして「123456」がランクインしたという事実もこうした状況を裏付けている。大文字、小文字、数字、特殊文字等を組み合わせた強固なパスワードを使用するという常識(現在では、重大な欠点があると認識されているが)自体は厳格に遵守していても、パスワードの再利用や一部を変更して利用する、といった行為は平然と行われている。このことからも、パスワードというもの自体に限界があることは明らかだろう。パスワードはアカウントとハッカーの間にある、たった一つの障壁でしかないのだ。
多要素認証(MFA)としても知られる二要素認証(2FA)は、自らのアカウントにもう一つセキュリティのレイヤーを追加する簡単な方法だ。二要素の意味を理解するには、「知識情報、所有情報、生体情報」という古典的な3つの認証要素を把握しておく必要がある。一つ目の「知識情報」とは、パスワードやPIN、ロックスクリーンパターンなどのことである。二つ目の「所有情報」とは、物理的な鍵(真鍮製のもの、あるいはRFID)や電子トークン、SMSコードのこと。そして、三つ目の「生体情報」とは、指紋や網膜、顔などの生体データのことである。
二要素認証では、二つの異なる要素で認証をパスする必要がある。PINコード(知識情報)や指紋スキャン(生体情報)、あるいは網膜スキャン(生体情報)に続いてセキュリティトークン(所有情報)のコードを入力するといった具合だ。インターネット上のサービスでは、従来からパスワードが使用されてきたこともあり、未だに二要素認証で求められる認証要素の一つにパスワードが利用される傾向にある。しかし、ハッカーはパスワード以外の認証を突破するための情報を持ち合わせないため、アカウントへのアクセスは困難となる。
サービス向けに使用できる二要素認証の仕組みは数多く存在する。最も多いのは、認証のためのデバイスにワンタイムコードが発行、または送信され、ユーザーは自分のパスワードと一緒に取得したコードを入力することでアカウントにアクセスできるようになるというものである。著名なインターネット上のサービスも採用している、最も一般的な二要素認証は、スマートフォン(以下、スマホ)に認証コード付きのテキストメッセージを送信する方法だ。最適かつ最も安全な方法とは言えないものの、何も対応しないよりはまだ良いといった程度である。
また、アカウントとペアリング(1対1の関係)できる認証アプリも存在する。これらのアプリは、制限時間内のみ有効となる認証コードを生成し続ける。あるものでは、それぞれのコードは1分間のみ有効となっている。また、Googleは手作業でのコード入力が不要な新しい二要素認証の方法を検証しており、スマホ自体がセキュリティキーとなるような取り組みを進めている。企業によっては二要素認証で使用できる独自のハードウェアソリューションを提供しているところもある。多くの選択肢が出てきており、自分のニーズに最も合致するものを選択するといいだろう。
人気のあるWebサイトの多くが二要素認証のオプションを提供しているものの、ログイン時に二要素認証が求められるWebサイトはほとんどない。通常、Webサイト上で二要素認証のオプションが設定できるページを見つけ出し、自分で有効にする必要がある。ほとんどの場合、Webサイトの設定またはプライバシー情報のページで確認できる。Webサイトによっては二要素認証の設定方法を提示し、複数のオプションを提供しているところもある。Webサイトやサービスが二要素認証を提供しているかどうかを知りたい場合、ここで調べることができる。(編集部注: 海外向けのため、日本国内のサービスはほとんどが「結果なし」となることに注意してほしい)
二要素認証の保護レベルについて疑問を持つ人もいるかもしれないが、ほぼパスされるケースはないといっていい。二要素認証を使用することで非常に強固なセキュリティレイヤーが加わり、ログイン情報を詐称してなりすますような攻撃に対しても極めて安心できる対策となる。