1年ほど前から写真にあるアイテムを利用しています。これはYubikeyという製品で、主に多要素認証のために用いられます。
今回は多要素認証ってなんなの?という話をすごくざっくりとしたいと思います。
ところで皆さんは自分がWEBサービスに登録した「秘密の質問」って憶えてますでしょうか?
・初めて飼ったペットの名前
・卒業した小学校の名前
・母親の旧姓
なんかを登録するアレです。
パスワードを忘れたときの再発行だったり、普段とは違うマシンからログインしたりしたときなんかに歴史の長いサービスや銀行系のサイトとかで聞かれるようなイメージがあります。
せめて秘密の質問が固定ならいいのですが、
・秘密の質問自体が複数用意されていて
・そのうち3個位だけ回答を登録することが出来て
・秘密の質問に回答するときには質問自体も選択しないといけない
といった「パスワードですら忘れたのに秘密の質問なんて憶えてるわけないじゃん!」って言いたくなる仕様もあったりしますね。
さて、この秘密の質問ですが原理的にパスワードと同じ種類の問いかけであることにお気づきでしょうか。
つまり「あなたのパスワードはなんですか?」と「あなたが卒業した小学校の名前はなんですか?」は両方とも「知っていること」を問いかけているのです。
これとは別のパターンについて考えてみます。
ATMでお金を引き出すとき、ATMの前で「お金がほしいです!お金がほしいです!」といくら叫んだところで出てくるのは警備員ばかりでお金は出てきません。
これはATMが音声入力に対応していないのも一因ではありますが、キャッシュカードや通帳といったものをATMに挿入する必要があるからです。
つまり、ATMはあなたに「持っていること」を求めているのです。
そして、もちろんその後は暗証番号を入力する必要があります。
暗証番号自体はパスワードと同じように「知っていること」の一種ですから、結果としてATMからお金を引き出す場合には「持っていること」と「知っていること」を両方とも求められていることになります。
ここでようやく「多要素認証」の話に戻りますが、多要素認証というのはまさにこのATMからお金を引き出すときのように「多くの」「要素で」「認証する」ことを指しています。
「要素」というのは次の3種類で、
・「パスワード」や「秘密の質問」のような「知っていること」(知識情報)
・「キャッシュカード」や「SMS認証」のような「持っていること」(所持情報)
・「指紋」や「虹彩」などの「あなた自身であること」(生体情報)
多要素認証に似た言葉で「多段階認証」という言葉がありますが、パスワードと秘密の質問の組み合わせなどの場合は「知識情報を2つ」という認証、つまり要素が一つしかない認証になってしまうので多「要素」認証ではなく、しかし複数の段階を経て認証しているので多「段階」認証と呼ばれるのです。
モノを作る側にとっても使う側にとっても聞く機会の多くなった多要素認証という言葉ですが、多要素認証と多段階認証の違いを認識しておかなければ思わぬセキュリティ事故が発生してしまう可能性があります。
多要素認証が求められるようなサイトは重要な情報を登録していることも多いでしょうから是非意識したいですね。
tel
