なぜ多要素認証が必要なのか?

多要素認証とは、Password等の単一の要素だけでなく、EmailやSMS等別の要素による認証を組み合わせてセキュリティを高める方法です。

いつもどこかでサイバー犯罪者が何らかの悪事を働いている昨今では多要素認証は必須の対策かもしれません。

Passwordは長きに渡り認証の一次要素として利用されてきて今もなお多くのサービスで必須の認証要素として利用されています。

noteのアカウントを作成する際もPasswordを指定しますね。

本来Passwordは個々人が記憶しておいて紙やテキストファイルに書き出したりしないことが前提となっていますが、現代はPasswordのポリシーが厳しく、個々人が記憶しておくことが困難になってきました。

紙やテキストファイルや1 PasswordのようなPassword保管サービスに書いておかないと忘れてしまうのが実情かと思います。

サイバー犯罪者は、ユーザがWebサイトのフォームに入力したPasswordを盗んで、ダークウェブと呼ばれる闇経済で高値で売買しています。

Webサイトのフォームだけでなく、先に触れた紙やテキストファイルやPassword保管サービスも"文字に起こされたPassword"を保管することで、これらも同様にサイバー犯罪者の盗難の的になってしまいます。

このようにPasswordの盗難は日常茶飯事で、もはやPasswordだけで認証を完結することは非現実的になってきました。

数ヶ月前に私の周りでもFacebookのPasswordを盗まれてアカウント乗っ取りにあってしまった人がいて、Messengerで意味不明なメッセージが送られてきたことを覚えています。

Password以外の要素(例/EmailやSMS)との組み合わせによる認証を要求することで、一次要素であるPasswordが盗まれてしまった場合でも不正なアカウント乗っ取りを防ぐ可能性が高くなります。

セキュリティと利便性は二律背反で、無尽蔵にセキュリティ対策を行うとユーザの利便性を下げてしまい、低い利便性が原因でサービスのビジネスそのものに影響を与えてしまうかもしれません。

毎回二次要素による認証を求めるのでは無く、ユーザのコンテキストに応じて二次要素による認証を求めることでセキュリティと利便性を両立することができるかと思います。

以下は二次要素による認証を求めるケースの例です。

1. あるユーザがシアトルからあるWebサイトにID=hoge/Password=hogeでログインに成功しました

2. サイバー犯罪者が東京から同じWebサイトにID=hoge/Password=hogeで認証を試みました

3. IDプラットフォームは、サイバー犯罪者のデバイスIDとIP Addressをチェックして、アクセスしようとしている場所は東京と判断しました。更に入力されたID=hoge/Password=hogeをチェックして、数分前にシアトルからWebサイトにログインしていることが判明しました

4. IDプラットフォームはこのログイン試行をリスク大と判断して、サイバー犯罪者にID/Passwordとは別にSMSに送ったコードを入力するよう促しました

5. 犯罪者はコードを確認できないためログインできません

最後までお付き合い頂きありがとうございます。

最後に記載したケースはあくまで一例のため、他にもいくつかケースはあるかと思います。

例えば、本による正当なログイン試行であってもPCやSmartPhoneのIDをチェックして、今までと違うデバイスの場合のときだけ二次要素による認証を要求するケースもありますね。