「2段階認証」とは?「2要素認証」との違い

「2段階認証」とは?「2要素認証」との違いIT/WEB
2021.02.12

いろいろなサイトやサービスで『2段階認証』という言葉を目にすることも多くなってきたのではないでしょうか?

「2段階認証」は不正なログインへの対策として効果が期待できる認証方法のひとつです。

この記事では「2段階認証」とは何なのか、セキュリティリスクに対してどのような有効性があるのかについて説明していきます。

また同じような名称で「2要素認証」という認証方法もあります。

名前は似ていますが中身は別のものです。

「2段階認証」と「2要素認証」の違いについても合わせて解説していきます。

2段階認証とは

システムやサービス、サイトにログインするときに2段階で認証する方式を2段階認証といいます。

例えばサイトにアクセスして、ログイン画面でIDとパスワードを入力すればログイン完了というのは1段階の認証です。

IDとパスワードでの認証に成功(1段階目)したあと、さらに秘密の質問に対して答えを入力して認証に成功(2段階目)すればログイン完了というのが2段階認証です。

2段階認証とは

2要素認証との違い

「2段階認証」と同じく「2要素認証」という言葉もよく聞くのではないでしょうか。

2要素認証は2段階認証とは全く別のものです。

2要素認証とは何なのか、2段階認証と2要素認証の違いについて説明していきます。

2要素認証とは

2要素認証とは、種類が異なる認証要素2つ組み合わせて行う認証方式のことです。

認証要素とは “どんなものを使って認証するか” ということです。

3つの認証要素

まず認証要素にはどんなものがあるのか見ていきましょう。

認証要素には次の3つがあります。

3つの認証要素
  • 「記憶」要素
  • 「所持」要素
  • 「生体情報」要素
「記憶」要素

「記憶」要素は知識情報とも呼ばれ、「本人だけが記憶していること・知っていること」を認証に用います。

例えば、IDやパスワード、秘密の質問・答えなどが「記憶」要素に該当します。

「所持」要素

「所持」要素とは「本人だけが所持しているもの」を認証に用います。

例えば、PC、スマートフォン、キャッシュカードなどが「所持」要素に該当します。

「生体情報」要素

「生体情報」要素とは「本人だけが持つ身体的特徴」を認証に用います。

例えば、指紋や顔、静脈などの情報が「生体情報」要素に該当します。

認証要素の組み合わせ

このように認証要素には「記憶」「所持」「生体情報」の3つがあります。

これら3つの認証要素のうち2つを組み合わせて行う認証が2要素認証です

例えば、IDとパスワード(「記憶」)での認証と、スマートフォンに送られる認証コード(「所持」)での認証を行う場合は2要素認証になります。

スマートフォンに送られる認証コードは、スマートフォンを “所持” している本人しか受け取ることができないので「所持」要素に該当します。

もっと身近な例だと、銀行のATMでお金を出金するときもキャッシュカード(「所持」)と暗証番号(「記憶」)が必要になるので2要素認証です。

2つ以上の認証要素を組み合わせる場合を「多要素認証」と呼ぶこともあります。

2段階認証と2要素認証

ここまで説明してきた通り、2段階認証と2要素認証は別のものです。

2段階認証は2段階で行う認証のことで、認証要素の数は問われません。

一方、2要素認証は2つの認証要素を組み合わせて行う認証のことで、認証段階の数は問われません。

このように「認証段階の数」と「認証要素の数」は分けて考える必要があります。

例えば、IDとパスワード(「記憶」)で認証(1段階目)したあと、さらに秘密の質問に対して答え(「記憶」)を入力して認証(2段階目)する場合は、2段階で認証を行っていますが、認証要素は「記憶」だけしか用いられていないので1要素ということになります。(2段階認証+1要素認証)

2段階認証と2要素認証1

IDとパスワード(「記憶」)で認証(1段階目)したあと、スマートフォンに送られる認証コード(「所持」)を入力して認証(2段階目)する場合であれば、認証要素は「記憶」と「所持」を用いることになるので2要素ということになります。(2段階認証+2要素認証)

2段階認証と2要素認証2

主流は2要素認証

現在、ログイン時のセキュリティ対策として有効性が高いとされているのは2要素認証です。

つまり重要なのは認証段階の数よりも認証要素の数ということです。

なぜなら2段階認証だけを考えるとあまりセキュリティ強度は高くありません

例えば、IDとパスワードが漏洩したり推測されてしまうような状況では、いくら2段階になったからとは言え、秘密の質問・答えも簡単に漏洩したり推測されたりする危険性があるからです。

この場合、「記憶」要素が盗まれるような状況でいくら認証段階を増やしても、同じ「記憶」要素だけに頼っていてはセキュリティ強度は上がらないということです。

一方、IDとパスワードで認証したあと、スマートフォンに認証コードが送られてくる2要素認証の場合はどうでしょうか?

IDとパスワードは簡単に入手したり推測したりできたとしても、認証コードが送られてくるスマートフォンまで同時に盗むことはなかなか簡単ではありません。

このように認証段階の数よりも認証要素の数を重要視すべきです。

「2段階認証対応」となっているサービスやサイトでも、認証段階の数だけでなく「2要素認証」に対応しているか確認するようにしましょう。

ただ、2要素認証の重要性というのは一般的に認識されつつあり、大手のサービスやサイトではすでに2要素認証に対応しています。

GoogleアカウントやMicrosoftアカウント、Dropboxなどでは「2段階認証」という名称で呼ばれていますが、中身としては「2段階認証+2要素認証」になっていますので安心して設定できるかと思います。

最近では、

「2段階認証」 = 「2段階認証+2要素認証」

というのが主流になってきていますので、「2段階認証」としか書かれていなくても中身としては「2要素認証」になっていることがほとんどです。

2段階認証(2要素認証)の有効性

2段階認証(2要素認証)を導入したからと言って「100%安全」とは言えませんが、悪意を持った第三者による不正ログインに対して高い効果が期待できます

不正ログインとは、簡単に言えば、あなたではない誰かが、あなたのアカウントやあなたが使っているサイトに、あなたのログイン情報を使って勝手にログインするということです。

このように勝手にログインされたらどうなるでしょうか?

  • あなたしか見れないデータやメールの内容にアクセスされる
  • 登録しているクレジットカードや銀行口座の情報が盗まれてしまう
  • SNSであなたになりすまして情報発信されてしまう
  • 不正ログイン後すぐにパスワード変更されあなた自身がログインできなくなる

簡単に思いつくだけでもこれだけの被害が考えられます。

ログイン時のパスワードを設定するだけではセキュリティ対策として限界があります。

数字と英字を使った6文字程度のパスワードでは “数分” で解読されてしまうというデータもあります。

また、パスワードとしてよく使われるワードで攻撃してきたり、辞書に載っているようなワードで攻撃してきたりする場合もあります。

複雑で桁数が多いパスワードを設定することは重要ですが、それだけでは不安が残る対策と言わざるを得ません。

このようなログイン時のセキュリティ対策として2段階認証(2要素認証)が有効な手段になってきます

2段階認証(2要素認証)が導入されていれば、万が一、IDとパスワードなどのログイン情報が漏洩したとしても、2段階目(2要素目)の認証で不正なログインを阻止することが可能になるからです。

例えば、2段階目の認証コードがスマートフォンに送られるように設定されていれば、次のイメージのように不正なログインを防ぐことができます。

2段階認証(2要素認証)の有効性

2段階認証はどのアカウントに設定すればいいのか?

IDとパスワードを登録するようなサービスやサイト、アカウントなどはすでにたくさん使っているのではないでしょうか?

2段階認証に対応しているサービスやサイトなら2段階認証を設定するのが理想ですが、持っているすべてのアカウントに対して2段階認証を設定していたらログインするときの手間が増えて大変です。

そんなときはあなたが使っているサービスやサイトの重要度を考えてみましょう。

一般的に次のようなものは重要度が高いサービスやサイトと考えられます。

  • メールサービス(GmailやYahoo!メールなど)
  • クラウドストレージ(Googleドライブ、iCloud、Dropboxなど)
  • インターネットバンキング
  • クレジットカード会社のサイト
  • クレジットカード情報や口座情報が登録されているサイト(ネットショッピングサイトなど)
  • SNSサービス(Twitterなど)
  • スマホなどのデバイスと連携しているアカウント(Apple IDやGoogleアカウント)
  • 仕事の情報が含まれているサービスやサイト
  • 自分が管理しているWebサイト(WordPressなど)

ここで挙げたものが、失いたくないデータや人に見られたくない情報だと思います。

また、これらのサービスやサイトに不正にログインされると被害が大きくなるアカウントでもあります。

まずはこの辺りを中心に2段階認証の導入を検討すると良いと思います。

まとめ

「2段階認証」とは何なのか、「2要素認証」との違いについて解説しました。

2段階認証とは

  • ログインするときに2段階で認証する方式

2要素認証との違い

  • 2段階認証は2段階で行う認証のこと
  • 2要素認証は2つの認証要素を組み合わせて行う認証のこと
  • セキュリティ対策として有効性が高いとされているのは2要素認証
  • 「2段階認証」 = 「2段階認証+2要素認証」 が主流

2段階認証(2要素認証)の有効性

  • ログイン情報が漏洩したとしても、2段階目(2要素目)の認証で不正なログインを阻止することが可能

2段階認証はどのアカウントに設定すればいいのか?

  • 使っているサービスやサイトの重要度を考えて2段階認証の導入を検討する

ここまで説明してきた通り、認証部分を強化するためには2段階認証(2要素認証)はとても有効な手段です。

しかしさまざまなセキュリティの脅威を防ぐためには、セキュリティ対策の基本を確実に行い、認証部分の強化以外にもトータル的な対策を実施しましょう。

【セキュリティ対策の基本】この5つだけは対応必須!
bigubii.site
簡単!WordPressに2段階認証を導入する方法
bigubii.site
タイトルとURLをコピーしました