LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@wtf

人の認証に関する基本の整理

Last updated at Posted at 2025-05-18

証券の不正取引で気になったので、時事ネタ追いかけるついでにお勉強。
参考文献:「情報処理安全確保支援士教科書 令和6年度」瀬戸美月/齋藤健一

認証とは

人や物の正当性を確認すること。

二者間認証と三者間認証がある。

※認証が成功したユーザに対して、どのようなアクセス権を与えるか判断するのは「認可」という。

本人認証

一般的な「人の認証」のこと。パスワードログインなどが含まれる。

認証の3要素

記憶要素
ある情報を持っていることによる認証。パスワードなど。
所持要素
ある物を持っていることによる認証。ICカード認証、スマホSMS、秘密鍵など。
生体要素
身体的特徴による認証。いわゆる生体認証。顔認証、指紋認証など。

※ この「認証」については、おそらくコンピュータを離れた現実でも通じると思っている。「合言葉で入場」「観覧チケットの確認」「免許証の顔写真の確認」など。

また、一般には言われている(と思う)こととして、

  • 記憶要素の場合、一般には「本人しか知らない情報」を使う。誕生日や語呂合わせのパスワードは、他人から推測しやすいため避けたほうが良い
  • 「通っていた学校」「ペットの名前」の秘密の質問も、他人が知ることが出来るため、認証として良くないとされる

MFA(多要素認証)、または2要素認証

Multi Factor Authentication = 多要素認証。 2要素認証は多要素認証に含まれる。
上であげた認証の3要素のうち、2種類(以上)を使ってログインすること。

例)

  • パスワード(知識)+認証アプリ(所持)
  • パスワード(知識)+顔認証(生体)
  • ICカード(所持)+指紋認証(生体)

2段階認証

2段階認証≠多要素認証。
「1段目の認証→2段目の認証、の順で認証を行うこと」「2回認証があること」ぐらいのことを指す。「認証の3要素」を何種類使うかについては言及していない呼称。

※ 最近読んだ文章を総合すると、少なくとも一般の語法ではどこまでを「2段階認証」と言うのかは幅がある印象。また、現在の実装は9割がた「2要素認証=2段階認証」のため、内容は2要素認証でも、口頭では「2段階認証」と呼んでいる例もある。

「2要素認証ではない2段階認証」の例としては

  • パスワード でログインすると、Webメールにワンタイムパスワードが送られる
  • メールに パスワードで ログインし、ワンタイムパスワードを取得する

が挙げられる。2回パスワードを使う分、1段階認証よりは強くなるが、2要素認証の条件は満たさない。

ただ、たとえばGoogleの2段階認証では

  • パスワードでログインする。(記憶要素の認証:本人はパスワードを知っている)
  • スマホに通知が来るので「はい」を押す。(所持要素の認証:本人は本人のスマホを持っている。)

となっている。これは2要素認証になっているが、名称は「2段階認証」となっている。
おそらく「2段階認証」の言葉ほうが、早くから使われ始めたので、こういった呼称になっているだと思う。

参考文献では「認証は1段階でも2段階でも構わない」「理想は"1段階・2要素認証"」と書いている。

Bot避け (人間か機械か)

CAPTHCAも「認証」と呼ばれるが、主には「人かBotか」を判断するために使う。
言葉にするなら「あなたは誰かとしてログインしようとしていますが、生身の人間がPCの前にいます?」ぐらいのところ。
主要なBot避けには個人の区別をする機能はなく、パスワード入力と一緒に使われることが多い。
Botやスパム対策として、サイバーセキュリティには効果がある。

たぶんこういうこと

  • 銀行ATM:キャッシュカード(所持要素)と暗証番号(知識要素)の 多要素認証
  • 顔パス:一種の生体認証
  • パスワードログイン+SMSワンタイムパスワード:知識要素と所持要素の 多要素認証
  • 「ワンタイムパスワードをWebメールに送り、アプリで読む」場合:多要素認証ではない
    • スマホ以外の環境からでもメールが読めてしまうので「所持要素の認証」の条件を満たさない
    • ただし「ワンタイムパスワード」が悪意ある人に入手されしくいという点で、セキュリティ強化の効果はある
  • 「住所氏名と生年月日を教えてください」の確認は認証か
    • 住所と生年月日は公に公開されていない、かつあてずっぽうも困難なので、知識要素の認証と言える
    • ただし、住所も生年月日も、本人以外に知っている人はいるため、「本人しか知らない情報」とは言い難い
    • 「本人確認」くらいの強さだと思われる

と、理解してます。

最近気になること

「2要素でない2段階認証を『2要素認証』と言っちゃってないか?」という点です。

正直、去年まで自分も深く気にしていなかった。上記のような知識を身に着けてから、ニュースやSNSの発言が気になり始めました。

サイバー攻撃に対して本格的に対策が始まりそうな現在、「セキュリティ強化しましょう」というとき、きちんと2要素認証にしたいのか、あるいは単にワンタイムパスワードの導入だけでいいのか、あるいはBot避けがしたいのか、違いを理解して考える必要があると思いました。

おしまい。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?