多要素認証とは、複数の認証要素を使って正規の利用者かどうかを確認する認証方式である。

 ここでの認証要素とは、システムやサービスがユーザー認証に使用する情報を指す。認証要素は大きく「知識」「所持」「生体」の3種類に分類される。

 知識の認証要素とは、正規の利用者本人だけが知っている情報である。最も広く使われている認証要素であるパスワード(パスフレーズ)が該当する。数字だけのパスワードといえる暗証番号や、特定の問いに対して利用者が答えを設定する秘密の質問も知識の認証要素である。

 パスワードをはじめとする知識を使うユーザー認証の利点は、低コストで実現できることである。利用者の記憶に頼るので認証のための機器などを必要としない。

 だが問題もある。パスワードなどは正規の利用者だけが知っていることが前提なので、第三者に知られるとなりすまされる危険性がある(PICT1)。

PICT1●パスワードだけのユーザー認証では安全性が低い
PICT1●パスワードだけのユーザー認証では安全性が低い
(イラスト:なかがわ みさこ)
[画像のクリックで拡大表示]

 セキュリティーの強度(安全性)を利用者に任せているのも問題だ。パスワードなどは利用者だけが知っている必要があるので、当然利用者自身が設定する。複雑な文字列をパスワードとして設定すれば推測されにくいが、セキュリティー意識が低い利用者や記憶に自信がない利用者は「123456」や「qwerty」といった単純な文字列を設定しがちだ。こういったパスワードは簡単に破られてしまう。

 使い回しの問題もある。多数のシステムやサービスを利用している人は、それぞれにパスワードを設定する必要がある。同じパスワードを設定している利用者は少なくない。その場合、利用中のサービスからパスワードが流出すると、そのパスワードを設定した他のサービスまで不正アクセスされる恐れがある。

 あるサービスから流出したパスワードのリストを使って他のサービスに不正アクセスするサイバー攻撃は「リスト型攻撃」と呼ばれ、大きな被害をもたらしている。パスワード認証は長く使われてきたが、もはや不十分なのだ。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。