はじめに
MFA (多要素認証) 設定において、Chrome拡張機能のAuthenticatorを利用することを勧めている記事が多く見受けられます。しかし、多要素認証の目的やその仕組みを考えた場合、この選択には課題があると言えます。本記事では、Authenticator拡張機能の利用が抱える問題点を整理し、多要素認証の本来の目的を再考するメモとしてまとめました。
多要素認証とは
多要素認証 (MFA) とは、以下の3要素のうち複数を組み合わせることで、より高い本人確認を行う認証手法です。
- 知識情報(例:パスワード、PINコード)
- ユーザーだけが知っている情報
- 所持情報(例:スマートフォン、デジタルカード)
- ユーザーが物理的に所有しているもの
- 生体情報(例:指紋、顔認証)
- ユーザーの身体的特徴を用いた情報
これらの要素を組み合わせることで、1つの要素が漏洩した場合でも、他の要素によってアカウントが保護される仕組みを提供します。
Authenticatorの多要素認証の問題点
「所持情報」の要素として不適切
多要素認証では、所持情報の要素を活用することが重要です。通常、この要素はスマートフォンやハードウェアトークンなど、ユーザーが物理的に保持している独立したデバイスを指します。
一方、Chrome拡張機能であるAuthenticatorは、ブラウザ内で動作するため、ユーザーが「所持」しているものとは言い難いです。
例えば、同じPC内でパスワードとTOTPコードを管理している場合、悪意のある攻撃者がPCにアクセスできれば、パスワードとコードの両方を取得される可能性があります。これでは、MFAの目的である「複数の要素を分散して保護する」が達成されません。
おわりに
スマートフォンでの認証が手間であるため、PC内で完結する拡張機能は確かに魅力的です。しかし、多要素認証を設定する理由や目的を見直す必要があります。特に業務用途で使用する場合、セキュリティポリシーに準拠したツールの選択が不可欠です。
個人利用であれば大きな問題とならない場合もありますが、業務での利用や高いセキュリティが求められる場面では、スマートフォンアプリやハードウェアトークンのようなより安全な選択肢を検討すべきでしょう。