情報セキュリティ講座(52) 認証の3要素
認証には、いくつかの要素があります。代表的なものが、次の3つです。
- 記憶
パスワードなど、その人でなければ覚えていないはずの情報を入力するものです。最も一般的な要素となります。
2. 所持
PCやスマホなど、その人しか持っていないはずの物を使ってアクセスするものです。PCやスマホを特定する必要があります。認証情報をインストールするなどの方法によります。
3. 生体
指紋や虹彩など、その人の身体的な特徴をアクセスの条件とするものです。
どの認証要素が絶対安全ということはありません。しかし、複数の要素を組み合わせることで、セキュリティを高めることができます。これを、2要素認証とか複数要素認証(Multi-Factor Authentication)といいます。たとえば、IDとパスワードを入力すると、折り返しで登録されたスマホに認証コードが送られてきて、これを入力しないとアクセスできない、などです。
かつてセブンイレブンが鳴り物入りで開始しようとしたセブンペイが、不正ログインされて悪用されたため、サービスそのものを断念せざるを得ない事件がありました。この時に、複数要素認証を採用していなかったために、経営責任まで問われたことがあります。いまや、複数要素認証は、標準的な認証方法であると言えます。