以前は、ID‐パスワード方式が主流でしたが、パスワードは推測されてしまったり、他のサイトと同じパスワードを使いまわしていると他サイトの情報漏洩によりログインを突破されてしまうという問題があり、現在では二要素認証を取り入れるサイトが増えています。二要素認証とはIDとPWでログインするだけではなく、SMSやメールでワンタイムパスワードを送付したり、ワンタイムパスワード生成ソフト(トークン)なども合わせて使ってログインをする方式です。
二要素認証には以下にあげる種類があります。
| 合言葉 | あらかじめ決めた質問の答えを入力する (「卒業した小学校は?」「好きな映画は?」など) |
| 個人情報 | 登録している個人情報を入力する (生年月日、電話番号、など) |
| ワンタイムパスワード | 一定時間ごとに発行される使い捨てパスワードを入力する (トークンやSMS・メールへ送信されたパスワードなど) |
| 物理セキュリティキー | 物理的な鍵のようにユーザーしか持っていないハードウェアのキーで認証する(キーをPCのUSBポートに差し込む、など) |
合言葉や個人情報を二段階認証で利用する方式は、もしもIDとパスワードとともに個人情報が漏洩していた場合は犯人にログインを突破されてしまう可能性があるのがあまり安全とは思えません。最近では減ってきていると思います。
ワンタイムパスワードの二要素認証であれば安全であるように思えるのですが、SMSによる二要素認証は悪用されることがあることがC-Net Japanで報道されていました。例えば、犯人がフィッシングサイトを使うパターンは下記の通りです。
- フィッシングサイトに誘導
- 被害者はフィッシングサイトでIDとパスワードを入力させて犯人が搾取
- 犯人はIDとパスワードを正規のサイトに入力
- 正規のサイトからワンタイムパスワードが通知
- 通知されたワンタイムパスワードを被害者はフィッシングサイトに入力
- 犯人は搾取したワンタイムパスワードで正規サイトのログインを突破
すでにSMSで認証コードを送付する方式を配布して、QRコード(ユーザーが手元のスマホなどの端末でスキャンできるQRコードを生成する)でログインする方式に切り替える会社が出てきています。QRコードを読み取る方式でなぜログインができるのか今一つ仕組みを理解できていないのですが、QRコードを読み取るときに使うスマホはすでに該当サービスにログインされている状態になっているので、ログインを許すという仕組みになっているのかもしれません。もう少し詳しい情報が出てきたら勉強しようと思います。
このQRコードを手元の端末(スマホなど)で読み取る方式であれば、送られてくるコードを見ながら画面に投入する必要もないので、利用者から見ても利便性は高いと思います。
コメント