IT用語/二要素認証

二要素認証(2014-09-02、更新:2017-01-23)

本人確認に以下の3つのうちの2つを使う方法

  1. 知っている(know)
  2. 持っている(has)
  3. 自分自身(is)

具体的な例だと、

  1. パスワード、電子証明書
    (know。盗聴や傍受が苦手)
  2. ICカード、USBトークン*1、TPM*2
    (has。紛失したらアウト)
  3. 指紋認証、静脈認証、虹彩認証のようないわゆる生体認証
    (is。アナログ的なので「本人拒否率」や「他人受け入れ率」が問題?)

のようなものを2種類以上組み合わせます。
組み合わせることで各々の一長一短を補い合ってセキュリティーを高めます。


生体認証(is)は他の2要素と比べてデメリットは少ないのでは?
・・・と思っていたのですが、昨今では「盗難」される危険性が増しているようです。
例えば、顔認証、指紋、虹彩などはSNSにアップした写真や画像から盗めてしまうとか。
また顔や指紋はパスワードのように変更できないので、一度盗まれると復旧が難しい。

こういう生体認証の突破とかって映画やマンガの世界と思っていたのですが
(ダミーの指紋とか、眼球とかで認証のシステムを突破するようなやつ)
巷にあふれている映像や音声などのデジタル品質が、生体認証に流用できるくらい高水準になってきたんですね。
あと、ICカードのようにカバンにしまっておくこともできないので、
すれ違いざまに情報を盗むことも容易なのかもしれません。
スキャナーあてれば一瞬で情報が拾えるし、情報を盗られたことにも気が付かないし、
認証の媒体という視点だと、最も無防備な媒体になってしまう、と。
便利なものほど危ないというか、いたちごっこですね~・・・


余談ですが
以前いた職場では、ICカードと指紋認証の二要素認証で入室していたのですが、
ICカード紛失事故が相次いだ結果、
「退勤時にはカードを会社に置いて、出社時には内線で中から開けてもらう」
という運用に代わりました。
これって、今思えば、二要素認証から一要素認証
(内線で開けてもらうための騙し文句?を知っていれば入室可能)
に変えているわけですよね。
職場のセキュリティー事故件数を少なく見せるために、
セキュリティー自体を下げていた訳か。ふ~ん・・・


*1 USBに脆弱性が見つかってしまったので、古い製品は注意
*2 Trusted Platform Module。マザーボードに直付けして、鍵ペアを作成。暗号化や署名を行う。

  最終更新のRSS