目的
自分の中で認証方式について誤解していた部分があったため、
一旦情報を整理して誤解を解消することを目的としています。
範囲
- 前提知識
- 単一要素認証/多要素認証とは何かとそれらの違い
- 追加認証とはなにか ←誤解があったのはここ
- 多段階認証と多要素認証の違い
前提知識
認証(Authentication)とは
簡単に言うと、何か情報にアクセスする際に行われる本人確認のこと。
役所の手続きで身分証明の提示を求められるのと一緒です。
鍵を使って家に入るのも該当します。
- NISTでの定義
認証に用いられる3要素
- 知識: something you know , e.g. password PIN
- 所有: something you have , e.g. device
- 生体: something you are , e.g. biometric
役所の例でいえば、”身分証明書”という所有物(顔写真付きであれば生体も)によって認証が行われます。鍵を使って家に入る行為も、家というリソースに対して鍵という所有物を使った本人認証そのものです。
PasswordとPINの違い
端的に言えば、パスワードは文字列であり、PINは数列です。
数字のみのパスワードはPINと言ってもよいでしょう。
- PASSWORD
- PIN
単一要素認証(SFA)と多要素認証(MFA)
単一要素認証
先に述べた3要素のうち、1要素のみを使用する認証方式です。
家の鍵がコピーされたらおしまいです。
多要素認証
対して多要素認証は、3要素のうち2つ以上を使用する認証方式です。
家の鍵がコピーされても、指紋認証がついていれば安心です。(実はそうでもない)
- 誤解される例
パスワード(知識)+秘密の質問(知識) これは、知識しか利用されていないためSMAです。 - 正しいMFAの例
パスワード(知識) + SMSで携帯に送られてくるワンタイムパスワード(所有)
Authenticatorを利用した携帯電話(デバイス)での指紋認証(生体)
追加認証(リスクベース認証)
簡単に言うと、「なんか認証の仕方がいつもと違うな?」ってなったときに、
再度認証を求められる認証方式です。
厳密には、risk adaptive access controlに基づき認証の強度を高めた認証方式のことです。
- RAdAC
- Risk-based authentication
具体的(一例)には、以下のような場合に追加認証を行います。
- 普段使用しているPCとは別のあまり使用していないPCからログインしようとした場合
- 普段アクセスしている場所とは違う場所からログインしようとした場合
- ログイン時の操作(キーストローク)が普段と違う場合
※私は、単純に認証を2回やるものと勘違いしていました。そうではありません。
わかりやすい例としては、普段は玄関から出入りしているのに会社の飲み会で飲みすぎて遅くなってこっそり勝手口から入ろうとしたら、「誰!?」って嫁に言われるようなもんです。(わかりにくいか)
多段階認証と多要素認証の違い
多段階認証は、認証を複数の段階にわたって行うことです。
この場合、利用される要素数は関係ありません。ですので、要素数を1つしか使わなかった場合は、多要素認証とはならずSFAの多段階認証となります。
一方で、MFAは1段階で実現できるものも存在します。
- SFAの多段階認証
パスワード -> 秘密の質問 - 1段階認証のMFA
デバイス&顔 ※windows hello for businessとかがたぶんそう。
| 多段階認証 | 多要素認証 | |
|---|---|---|
| 要素数 | 不問(1要素だけも可) | 2要素以上 |
| ステップ | 2回以上 | 不問(1ステップでもできる) |
- 多段階認証だからと言って、必ずしも多要素認証とは限らない。
- 多要素認証だからと言って、必ずしも多段階認証とは限らない。
ということになります。
ほんと紛らわしくて困っちゃいますね。
余談
多要素認証に関して、近年の高解像度化により画像から顔や指紋を再現することはそう難しいことではなくなってきています。なので、油断は禁物です。MFAバイパスなんていう脅威もあったりしますし、MFA Fatigueといった脅威もあったりします。
詳しくはここでは書きませんが、いずれにせよMFAがあるからと言って安心できるわけではありません。