この記事では、セキュリティの強化を図る手法である2要素認証について解説します。
2要素認証とは
インターネットを使ったサービスでは、利用者ひとりひとりを識別して、乗っ取りや成りすましを防ぐ仕組みが備わっています。通常はユーザーIDやパスワードを使ってユーザーを認証をします。
2要素認証とは、「知識」、「所有」、「生体」の中から、異なる2つの要素を用いて本人確認を行う認証方法のことです。
要素 | 例 |
---|---|
知識(本人だけが知っていること) | パスワード、暗証番号 |
所有(本人だけが持っているもの) | ICカード、スマホ(電話番号も含む) |
生体(本人の身体的特徴) | 指紋、顔、虹彩、静脈 |
例えば銀行のATM操作は、キャッシュカード(所有)と暗証番号(知識)の組み合わせを用いた2要素認証になります。
2要素認証に対応していないシステムやサービスも存在します。
なぜ2要素認証が推奨されているのか
2要素認証にすることで、システムやサービスへの不正アクセス(乗っ取りや成りすましなど)のリスクを小さくすることができます。
第三者に万が一パスワードや暗証番号(「知識」の要素)が知られても、さらに「所有」や「生体」の要素で認証を求められるため、あなたに成りすまして情報にアクセスすることができません。
電話番号を使った2要素認証の仕組み
所有の要素である「電話番号」を使った認証はよく使われており、パスワード、暗証番号などの知識の要素と組み合わせることが多いです。ここではユーザーが電話番号を使って認証する場合の一例を紹介します。
ここでは電話番号を使った認証を紹介します。※下記は利用者が操作する場合の一例です。
(1)ログイン画面にてユーザーIDやパスワードを入力する。
(2)認証の画面でスマートフォンや携帯電話の電話番号を入力して送信する。
(3)認証コード(たいていは6桁くらいの数字)が記載されたSMS(テキストメッセージ)が、スマートフォンや携帯電話に送信されてくる。
※テキストメッセージではなく、システムから電話がかかってくる場合もある。この場合は電話に出て音声ガイダンスに従い、認証コードを聞く。
(4)認証の画面で認証コードを入力する。
(5)正しいコードであれば認証完了。
「100%安全」ではない
2要素認証は完璧なセキュリティの手法ではありません。電話番号を使った2要素認証の仕組みは、海外で破られてしまった事例があります。
しかしながら2要素認証を用いず、1つの要素だけで本人確認の認証を行っている状態は、より危険です。セキュリティのために、2要素認証は設定した方が良いでしょう。
2要素認証の設定をしたうえで、「100%安心」と過信はせずに、セキュリティについて危機意識を持つことが大事です。
子ども、大人と2要素認証
子どもがスマホでSNSやゲームといった各種サービスに登録しているのにもかかわらず、電話番号を持っていないことや、使わせてもらえないことから、2要素認証の設定が先送りになってはいないでしょうか。
乗っ取られたり盗み見されたりしたら困る大事な情報を保存してあるサービスについては、2要素認証を設定して少しでも安全な状態にするのがオススメです。その際、SNSやゲームが子どものものだからといって、2要素認証で使う電話番号まで子どものものである必要は必ずしもありません。保護者の電話番号を使うことで、子どもの利用状況をある程度管理できる側面もあります。ただし、制約をきつくしすぎて子どもがSNSやゲームを使いたいときに使えないとなると、子どもにとっては「2要素認証を回避したい」という動機につながってしまうので、バランスが重要となります。
2要素認証について大人と子どもが一緒に理解し、必要に応じて電話番号を使った2要素認証を設定するのが適切といえるでしょう。
まとめ
2要素認証は乗っ取りや成りすましを防ぐために、実施したほうがよいものです。 大人も子どもも2要素認証を理解し、セキュリティ強化を図りましょう。
参考:「2段階認証」とどう違うの?
2要素認証と似ている言葉に2段階認証というものがあります。2段階認証は、本人確認を行う認証が2回あることです。その際、認証に用いる要素は、異なる2つの要素を用いることもありますが、同じ要素同士の組み合わせを用いる場合もあります。
※銀行のATM操作は「2要素認証」であると同時に「2段階認証」の定義にも合致します。
2段階認証は認証回数が多い分、ユーザーIDとパスワードだけを使ってユーザーを認証する方法(1段階認証)より安全です。しかしながら2段階認証の要素が1つのみの場合は、セキュリティが強化されているとはいえません。例えば「パスワード」と「秘密の質問」の2段階で認証している場合、どちらも「知識」の要素を使っていて、2要素認証にはなっていません。サイバー攻撃を受けた際に、「パスワード」と「秘密の質問」が同時に流出してしまう可能性があります。