二要素認証とも呼ばれています。
ユーザーがオンラインで行う操作として最も脆弱性が高い部分であるログインをより安全にするための方法を探しているサイトが増えているため、二段階認証は、インターネット上の至る所で見られるようになっています。
二段階認証とは
パスワードはウェブ上でログインするためのデファクトスタンダードですが、比較的簡単に破られてしまいます。たとえ良いパスワードを作って定期的に変更したとしても、ログイン中は保存されておく必要がありますし、サーバーへの侵入によりパスワードが漏洩する可能性があります。人を識別する方法としては、「特性 (何者であるか」「所有物 (持っているもの)」「知識 (知っていること)」の3つがあります。
パスワードを使ってログインするのは一段階認証です。これは、「知識」だけに依存しています。二段階認証は、身元を証明するために3つの可能な要因のうちの2つを使用するシステムと定義されます。 しかし実際には、現在の二段階認証の実装では、まだパスワードの知識のみに依存しているものの、所有物で認証するために携帯電話やその他の端末を使用しています。
3つの可能要因
ユーザーを特定する方法としては、3つの方法が考えられます。
特性 (あなたが何者であるか)
各ユーザーには固有の特性があり、識別するためにそれらを使用することができます。最もポピュラーなのは指紋ですが、網膜、声、DNA、その他個人に固有のものであれば何でも使えます。これらの情報はすべてその人の生態に属しているため、これは生体 (バイオメトリック) 情報と呼ばれています。
生体要素は、簡単に偽造されず、ユーザーが紛失したり忘れたりすることがないため興味深いものです。しかし、紛失した指紋は決して取り替えることができないため、厄介です。ハッカーが指紋のデータベースにアクセスしたとしても、ユーザーが指紋をリセットしたり、新しいものを手に入れたりする方法はありません。
2013年、Apple 社は、ユーザーが指紋を使用して自分の iPhone のロックを解除することができる TouchID をリリースしました。指紋情報は、ハッカーが簡単に盗むことができるクラウド上ではなく、スマートフォンのローカルに格納されています。この種のアプローチとのトレードオフはまだありますが、TouchID はこれまでに最も普及した消費者向け生体認証の利用例です。
所有物 (持っているもの)
所有要素とも呼ばれ、携帯している端末によってユーザーを識別することができます。従来は、二段階認証を可能にするために、安全なワンタイムパスワードトークンをユーザーに配布していました。トークンには30秒ごとに新しい番号が表示され、ユーザーがログインするたびにパスワードと一緒にその番号を入力する必要がありました。
最近の二段階認証は、新しいハードウェアよりもユーザーのスマートフォンに依存することが多くなっています。一般的なモデルのひとつでは、簡単な第二の要素を提供するために SMS を使用しています。ユーザーがパスワードを入力すると、固有のコードが記載されたテキストメッセージが送信されます。パスワード入力後にそのコードを入力することで、その人が自分の携帯電話を持っているであろうことを証明します。残念ながら、SMS は安全な通信チャネルではないため、スマートフォンのアプリやプラグインは、その安全なチャネルを作るために開発されてきました。
知識 (知っていること)
最も馴染みのある認証方法は、知識ファクター、つまりパスワードです。「開けゴマ」と同じくらい古くから、パスワードは匿名認証の標準となっています。知識ファクターが機能するためには、両方の当事者がパスワードを知っている必要がありますが、他の当事者はそれを見つけたり、推測したりすることができないようにしなければなりません。
最初の課題は、信頼できる相手と安全にパスワードをやりとりすることです。ウェブ上では、新しいサイトに登録する際にパスワードをそのサイトのサーバーに送信する必要があり、その過程で傍受される可能性があります (そのため、登録やログインの際には必ず SSL 化されているかどうかを確認する必要があります。管理画面での SSL 通信を参照)。
パスワードを受け取ったら、その情報は秘密にしておかなければなりません。ユーザーはそれを書き留めたり、他の場所で使用したりしてはならず、サイトはハッカーがパスワードにアクセスできないように慎重にデータベースを保護する必要があります。
最後に、パスワードを検証する必要があります。ユーザーがサイトを訪問する際には、パスワードを提供し、保存されているコピーと照合して検証する必要があります。このやりとりは傍受される可能性もあり (そのため、常に SSL 上で行うべきです)、ユーザーを別のリスクにさらすことになります。
利点
サイトのセキュリティを高める場所はいろいろありますが、WordPress セキュリティチームも「あらゆるオンライン活動でのセキュリティの最も脆弱な繋ぎ目はパスワード」と言っているため、サイトのその面の強化に力を入れるのは理にかなっています。
欠点
名称が示すように、二段階認証は現在すでに冗長で手間のかかるプロセスに、さらに段階を追加するものです。今日では、ほとんどの非常に安全性の高いログインは二段階認証で保護されている一方、コンシューマーアプリケーションでは二段階認証をオプションとして提供していることはほとんどありません。これは、ユーザーがサービスに登録やログインするのがより困難になると、ユーザーの登録やログインの可能性が低くなるからです。
二段階認証では、正当なログインができなくなることもあります。二段階認証を有効にしている場合にユーザーが自宅にスマホを忘れてくると、自分のアカウントにアクセスできなくなります。これは、スマートフォンが二段階認証に有用である主な理由の1つでもあります。他のほとんどのものよりも、ユーザーが携帯している可能性が高いからです。
二段階認証用プラグイン
WordPress.org のプラグインリポジトリで、利用可能な二段階認証プラグインを検索できます。ここでは、最も人気のあるものの一部を紹介します (アルファベット順)。
この記事は役に立ちましたか ? どうすればさらに改善できますか ?
フィードバックを送信するにはログインする必要があります。