2 要素認証とは何ですか? なぜそれを使用する必要があるのですか?

データが新たな石油である今日の時代におけるぞっとする考えの 1 つは、オンライン アカウントが侵害されたり、それらへのアクセスが完全に失われたりすることへの懸念です。 この懸念にはいくつかの要因が考えられますが、その中で最も重要なのは十分なセキュリティが整っていないことです。これは、過失や不十分なセキュリティ慣行に分解され、ほとんどのユーザーがうっかり/不注意に従ってしまう可能性があります.

この問題を解決する 1 つの方法は、すべてのアカウントで 2FA (2 要素認証) を有効にして、セキュリティを強化することです。 そうすれば、パスワードが漏洩/ハッキングされた場合でも、2 番目の要素 (2FA 検証トークン) によって検証されるまで、アカウントにアクセスすることはできません。

しかし、実際には、多くの人が 2FA を活用していないようであるか、その存在に気付いていないようです。 そこで、簡単にするために、2FA に関する最も一般的な質問のいくつかへの回答を含む 2 要素認証のガイドを次に示します。

二要素認証 (2FA) とは?

2 要素認証または 2FA は、多要素認証 (MFA) メカニズムの一種であり、ログインを認証するためにアカウントに追加のセキュリティ レイヤー (2FA の場合は 2 番目の要素) を追加します。

理想的には、ユーザー名とパスワードを使用してアカウントにログインするときに、パスワードが最初の認証要素として機能します。 そして、サービスが入力されたパスワードが正しいことを確認した後でのみ、アカウントにアクセスできるようになります.

この方法の問題点の 1 つは、最も安全ではないことです。誰かがあなたのアカウントのパスワードを入手すると、簡単にログインしてあなたのアカウントを使用できるようになります。 これはまさに、第 2 要素の必要性が出てくるところです。

いくつかの異なる方法で設定できる 2 番目の要素は、ログイン時にアカウントに追加の認証レイヤーを追加します。これを有効にすると、アカウントの正しいパスワードを入力するときに、一定期間有効な確認コードを入力して、本人確認を行います。 検証が成功すると、アカウントへのアクセスが許可されます。

仕組みを実装しているサービスによっては、2FA は Google の場合のように 2 段階認証 (2SV) として扱われる場合もあります。 ただし、名前の違いを除けば、両方の背後にある動作原理は同じままです。

二要素認証 (2FA) はどのように機能しますか?

前のセクションで説明したように、2 要素認証では、(最初の要素であるパスワードに加えて) 2 番目の要素を使用して、ログイン時に ID チェックを完了します。

これを実現するために、2FA を実装するアプリとサービスでは、エンドユーザーがログインしてサービスの使用を開始する前に、次の要素 (または証拠) のうち少なくとも 2 つを検証する必要があります。

私。 知識–あなたが知っていること
ii. 所有-あなたが持っているもの
iii. 固有–あなたが何か

これらのさまざまな要素を構成するものをよりよく理解するために、ほとんどのシナリオでは、知識要素は、アカウントのパスワードや PIN などであり、所有要素には、USB セキュリティ キーや認証キーフォブなどを含めることができます。要因は、指紋、網膜などのバイオメトリクスにすることができます。

いずれかのアカウントで 2FA をセットアップして実行したら、ナレッジ要素に加えて、 PossessionとInherenceの間の 2 つの検証要素のいずれかを入力して、サービスで身元を確認する必要があります。ログインする。

次に、保護したいものと使用しているサービスに応じて、優先する 2 番目の認証メカニズムを選択するための 2 つのオプションが表示されます。 Possession :任意の物理的なセキュリティ キー、またはスマートフォンのコード ジェネレーター アプリのいずれかを使用できます。これにより、本人確認に使用できる 1 回限りのトークンが提供されます。 または、アカウントの 2 番目のセキュリティ検証要素として、最近一部のサービスで提供されているInherence :顔認証などを利用することもできます。

2 要素認証は絶対確実ですか? 2FA を使用するデメリットはありますか?

2 要素認証とは何か、またそのしくみを理解したところで、その実装と、アカウントで使用することの欠点 (ある場合) について詳しく見ていきましょう。

まず、ほとんどの専門家の間で 2 要素認証を使用することに関するコンセンサスは概して肯定的であり、人々が自分のアカウントで 2FA を有効にするように促しますが、メカニズムの実装には確かにいくつかの欠点があり、それが絶対確実なソリューションになることを妨げています.

これらの欠点 (または脆弱性) は、ほとんどの場合、それらを使用するサービスによる不適切な 2FA 実装の結果であり、それ自体がさまざまなレベルで欠陥となる可能性があります。

脆弱な (読み取り効果のない) 2FA 実装のアイデアを得るために、携帯電話番号を使用してアカウントで 2FA を有効にしているシナリオを考えてみましょう。 このセットアップでは、サービスは SMS 経由で OTP を送信します。これを使用して身元を確認する必要があります。 ただし、この状況では第 2 要素がキャリア経由で送信されるため、さまざまな種類の攻撃の対象となり、それ自体は安全ではありません。 その結果、そのような実装は、アカウントを保護する上で本来あるべきほど効果的ではありません.

上記のシナリオ以外にも、2FA があらゆる種類の攻撃に対して脆弱になる状況がいくつかあります。 これらの状況には、メカニズムを組み込んだウェブサイト/アプリの例が含まれます。 トークン検証の実装が歪んでいる。 誰かがアカウントにブルート フォースで侵入できるレート制限がありません。 同じ OTP を何度も送信できます。 とりわけ、バックアップ コードに対する不適切なアクセス制御に依存しています。 これらすべてが脆弱性につながる可能性があり、適切な知識とスキルセットを持つ誰かが、不十分に実装された 2FA メカニズムを回避し、標的のアカウントにアクセスできるようになる可能性があります。

同様に、2FA が問題になる可能性がある別のシナリオは、2FA を不注意に使用した場合です。 たとえば、コード ジェネレーター アプリを使用してアカウントで 2 要素認証を有効にしていて、新しいデバイスに切り替えることを決定したが、認証アプリを新しい電話に移動するのを忘れた場合、アカウントから完全にロックアウトされる可能性があります。 その結果、そのようなアカウントへのアクセスを回復するのが困難な状況に陥る可能性があります。

SMS を使用して 2FA トークンを取得する場合、2FA が時々あなたを傷つける可能性があるもう 1 つの状況です。 この場合、旅行中に接続状態の悪い場所に移動すると、SMS 経由で 1 回限りのトークンを受信できなくなり、アカウントに一時的にアクセスできなくなる可能性があります。 言うまでもなく、キャリアを変更しても、古い携帯電話番号が 2FA の別のアカウントにリンクされたままです。

しかし、そうは言っても、ここで重要な要素が 1 つあります。それは、私たちのほとんどは平均的なインターネット ユーザーであり、疑わしいユースケースにアカウントを使用しないため、ハッカーが私たちのアカウントを標的にする可能性は非常に低いということです。可能性のある攻撃として説明します。 これの明らかな理由の 1 つは、平均的なユーザーのアカウントは十分に餌付けされておらず、誰かが時間とエネルギーを費やして攻撃を実行しても得られるものはあまりないということです。

このようなシナリオでは、前述のように、2FA セキュリティの極端な欠点に遭遇するのではなく、2FA セキュリティを最大限に活用することになります。 つまり、大多数のユーザーにとって、2FA の利点は欠点を上回ります (注意して使用している限り)。

二要素認証 (2FA) を使用する理由

オンラインでより多くのサービスにサインアップするにつれて、何らかの形でアカウントが危険にさらされる可能性が高まっています. もちろん、これらのアカウントのセキュリティを確保し、脅威を寄せ付けないようにするためのセキュリティチェックが実施されていない限り.

過去数年間、一部の人気のあるサービス (巨大なユーザー ベースを持つ) のデータ侵害により、大量のユーザー資格情報 (電子メール アドレスとパスワード) がオンラインで流出し、世界中の何百万人ものユーザーのセキュリティが危険にさらされ、ハッカーが攻撃できるようになりました。 (またはノウハウを持つ人) が漏洩した資格情報を使用してこれらのアカウントにアクセスします。

それ自体が大きな懸念事項ですが、これらのアカウントに 2 要素認証が導入されていないと事態は悪化します。ハッカーにとってプロセス全体が単純で単純なものになるからです。 したがって、簡単なテイクオーバーが可能になります。

ただし、アカウントに 2 要素認証を採用すると、OTP またはアプリ/フォブ生成トークンである所有要素 (自分だけが持っているもの) を使用するため、バイパスするのが難しい追加のセキュリティ層ができてしまいます。 —あなたの身元を確認するため。

実際のところ、侵入するために余分な手順が必要なアカウントは通常、攻撃者のレーダーに映らない (特に大規模な攻撃の場合) ため、2FA を採用していないアカウントよりも比較的安全です。 とはいえ、2 要素認証がログイン時に余分な手順を追加するという事実は否定できません。しかし、見返りとして得られるセキュリティと安心は、間違いなく手間をかける価値があります.

上記のシナリオは、アカウントで 2FA を有効にすることが有益であることが証明されるさまざまな例の 1 つにすぎません。 とはいえ、2FA はアカウントのセキュリティを強化しますが、これも絶対確実なソリューションではないため、サービスによって正しく実装される必要があることを再度言及する価値があります。 ユーザー側での適切なセットアップは言うまでもありません。サービスを適切に機能させるには、慎重に (すべての回復コードのバックアップを取る) 必要があります。

二要素認証 (2FA) を実装する方法は?

2 要素認証で保護するアカウントに応じて、一連の手順に従ってアカウントで 2FA を有効にする必要があります。 Twitter、Facebook、Instagram などの人気のあるソーシャル ネットワーキング Web サイトの一部です。 WhatsApp などのメッセージング サービス。 またはあなたの電子メールアカウントさえも。 これらのサービスは、2FA を有効にしてアカウントのセキュリティを向上させる機能を提供します。

私たちの意見では、すべての異なるアカウントに強力で一意のパスワードを使用することは初歩的なことですが、2 要素認証を無視するのではなく、サービスが機能を提供する場合はそれを利用する必要があります。回復オプションとして、他のほとんどのアカウント。

2 要素認証を有効にする最良の方法について言えば、最も安全な方法の 1 つは、一定の間隔でコードを生成するハードウェア キーを使用することです。 ただし、平均的なユーザーの場合、Google、LastPass、Authy などのコード生成アプリも問題なく動作するはずです。 さらに、最近では、ボールトとトークン ジェネレーターの両方を提供する特定のパスワード マネージャーを入手できるため、一部の人にとってはさらに便利になっています。

ほとんどのサービスでは、2 要素認証を有効にするために同様の一連の手順が必要ですが、Google アカウントや他のソーシャル メディア Web サイトで 2 要素認証を有効にする方法に関するガイドを参照して、2 要素認証セキュリティを適切に設定する方法を確認してください。貴方のアカウント。 その際、トークンを受け取っていない場合やトークン ジェネレーターへのアクセスを失った場合にアカウントからロックアウトされないように、すべてのバックアップ コードのコピーがあることを確認してください。