たった1回のデータ侵害で、オンライン生活全体が大混乱に陥ってしまう。問題はパスワードだ。この保護手段は、貴重なリソースを守るには絶望的なまでにもろい。
長く、複雑で、推測しにくいパスワードを作成すれば、何とかオンラインでの安全性を高められると信じ込み、誤った安全感を持たないようにしよう。あまりに長く複雑で、入力に5分かかるパスワードを作成しても、そのパスワードを使用するサービスで適切に保管されておらず、サーバーが侵害された場合、保護には何の役にも立たない。そうした事態が頻繁に起きている。
強力なパスワードをランダムに生成して使い回しをしない、という合理的なポリシーを定めていても、セキュリティという鎖で最も脆弱な部分は、やはり人間だ。聡明な人でも、ソーシャルエンジニアリングでだまされて認証情報をフィッシングサイトに入力することや、電話で教えてしまうことがある。
その解決策が、2要素認証、すなわち2FAだ(細部にこだわる一部のサービスは、多要素認証や2段階認証と呼んでいるが、最も広く使用されているのは2FAという用語だ。そこで本記事では、2FAを使用することにした)。
サービスで2FAを有効にすると、セキュリティ要件が変わり、少なくとも2種類の身元証明を提示して、保護されたサービスにアクセスしなければならない。この2種類の認証形式は、以下の要素の少なくとも2つを任意に組み合わせたものになる。
- 「自分が知っていること」。パスワードやPINなど。
- 「自分の特徴」。指紋やその他の生体認証IDなど。
- 「自分が所有しているもの」。確認コードの生成や受信が可能な信頼できるスマートフォン、ハードウェアベースのセキュリティデバイスなど。
何者かがパスワードを盗んで、未知のデバイスからサインインしようとすると、2つ目のID証明の提供を(通常は数字コードの形式で)求められる。そのサインイン要求を出したのが、アカウントの認証情報を盗んだ者だった場合、そこから先に進むことはできない。その数字コードがなければ、サインインプロセスを続行できないからだ。
現在導入されている2要素認証システムでは、多くの場合、最初の要素(パスワード)と最後の要素(スマートフォン)が使用される。スマートフォンは広く普及しているため、最適なセキュリティデバイスとなっている。
スマートフォンは、サインイン時にパスワードと併せて使用する固有のコードを提供することで、認証を支援することができる。そのコードを取得する方法は2つあり、サービスからテキストメッセージとして送信させるか、スマートフォンにインストールされたアプリで生成する(一部のサービスでは、スマートフォン上でプッシュ通知を承認することもできる)。
Microsoftのレポートは、2FAがうまく機能し、自動化された攻撃の99.9%をブロックしていると結論づけた。サービスプロバイダーが多要素認証をサポートしている場合は、それがSMSベースのワンタイムパスワードのような単純なものであっても使用した方がいい、とMicrosoftは推奨する。Googleによる別のレポートも同様の結論だった。
2要素認証は、偶発的な攻撃のほとんどを阻止するが、完璧ではない。断固たる決意で特定のアカウントを直接標的にする攻撃者は、2FAを回避する方法を発見できるかもしれない。特に、復旧用のメールアカウントの乗っ取りが可能な場合や、通話やSMSメッセージを自分の管理するデバイスにリダイレクトできる場合は、その可能性が高まる。しかし、何者かがそこまでの確固たる意思でアカウントに侵入しようとしているのなら、もっと大きな問題がある。
