ログインする際にユーザーIDとパスワードだけでなく、別の情報や操作を求めるWebサービスが増えている。複数の手段を用いる認証方式には「2要素認証」と「2段階認証」がある。名称は似ているが、内容は異なる。
これらの違いを理解するために、認証に使われる「認証要素」を確認しておこう。
認証要素とは、正当な利用者がアクセスしていることを確認するために使う情報である。大きく「知識」「所持」「生体」の3つに分類される。
知識の認証要素とは、利用者だけが知っている情報である。最もよく使われるパスワードをはじめ、暗証番号のPINコード、利用者自身が設定した質問に答える「秘密の質問」が含まれる。
所持の認証要素は、利用者が所有する「モノ」を利用する。パソコンのUSBポートに挿して使うセキュリティーキーやスマホ、タブレット端末などが該当する。
最近よく見かけるのがSMSを使った認証だ。サービス事業者は利用者のスマホやタブレットにSMSを使ってメッセージを送信。メッセージに含まれるワンタイムパスワードをログイン時に入力すれば、その利用者があらかじめ登録された番号の「モノ」の所有者だと分かる。
生体の認証要素は、利用者の身体的な特徴を使う。要するに生体情報だ。指紋や目の虹彩、手のひらの静脈、顔といった本人に特有の情報である。こうした情報を利用するには、生体情報に合わせたセンサーが必要になる。
要素の種類が異なる
2要素認証はこうした認証要素の中から、異なる種類の要素を要求する認証方式である。例えば、パスワードとスマホのSMSを使って認証する方式であれば2要素認証となる。
一方の2段階認証は、一度認証を行った後に、もう一度認証を行う方式である。この方式では認証要素の種類を問わない。例えばパスワードで認証した後に、利用者が重要な操作をするときに秘密の質問やPINコードを入力させる。両方とも知識要素だが、どちらか一方が漏洩しても残りの1つが漏洩していなければ不正を防げる。
ただ要素の種類が1つだと、安全性はそれほど向上しないとの指摘もある。米国立標準技術研究所(NIST)のセキュリティー基準や日本の総務省、経済産業省の基準では、2種類以上の認証要素を使うことを推奨している。
