なかなかブログが書けてないhisayukiです。
最近は毎日なにかと炎上ネタを投げてくれるセブンイレブン
ちょっと才能すら感じてしまってますが、せっかく二段階認証(多要素認証)について再度おさらいする機会を頂いたのでまとめてみました。
必要性
もはやユーザー名とパスワードだけで情報を守れる世界はとうに終わってます。
パスワードの定期変更とか、桁数とか、使用文字種類とかはやらないよりマシくらいで考えましょう。
ちなみにパスワードの総当たり攻撃を、GPU搭載コンピュータで行った場合の実験結果です。
| 利用文字種\桁数 | 7桁 | 8桁 | 9桁 | 10桁 |
| 英子文字のみ(26文字種) | 2秒 | 52秒 | 22分 | 10時間 |
| 英大小文字+数字(62文字種) | 15分 | 15時間 | 39日 | 7年 |
| 英大小文字+数字+記号(96文字種) | 5時間 | 20日 | 5年 | 527年 |
dit 2014年発表データより参照
英子文字のみのパスワードとか10桁でも半日で総当たりされます。
英大小文字+数字+記号だとしても7桁以下はたった5時間で突破されます。
英大小文字+数字で9桁以上推奨ですね。
とはいっても、オンラインサービスでこんな総当たり攻撃したら普通ならパスワードの入失敗回数でアカウントロックがかかると思います。
ただ今回セブンは失敗制限をかけてなかったとのこと・・・
このように必ずしもすべてのサイトが攻撃対策してるわけではないのです。
そのためパスワードは「既に知られているもの」と考えて、対策をする必要があります。
そこで用意られるのが二段階認証や多要素認証と言われる、パスワード以外の認証ステップの追加です。
二段階認証と多要素認証
意外とごっちゃになってしまいがちなので、きちんと違いを調べました。
多要素認証
要素認証は認証の3要素という3つの要素を複数組み合わせたものです。
同一の要素を利用した場合は多要素認証にならないため、多要素認証と言いつつ二段階認証だったりする場合もあります。
知識認証
パスワードとか合言葉とかPINコードとか、本人しか知らない知識にて認証する方法
一番馴染みの多い認証方法ですが、共有が簡単なので最も突破されやすい。
所有物認証
本人の持っている物(=所有物)で認証する方法
物を盗まれたり紛失しない限りは突破されない。
キャッシュカードとかICカードとかワンタイムパスワード用トークン(ソフトではなく物理的なもの)など。
生体認証
人の持つ身体的特徴や行動的特徴で認証する方法。
おそらく3要素の中で一番突破されにくい認証方法だが、基本代わりも効かない。
指紋認証とか顔認証とかiPhoneでお馴染みのものや、虹彩認証、静脈認証、DNAなどなど。
二段階認証
二段階認証は名前のとおり、認証が2ステップになるものです。
多要素認証も認証までに二段階になることが多いので、二段階認証の1つだと思ってます。
ただこちらは単一要素でも二段階になっていれば二段階認証となります。
なので、パスワード+秘密の合言葉とかでもOKです。
ただパスワードと何を使うかが大事で、今回の7ペイみたいに誕生日とかFB探したら載ってそうな情報で二段階にしても速攻突破されます。
例えばSMSはSIMカードに登録されてる電話番号に飛ばしているためSIMカードという所有物認証になるので、知識認証(パスワード)+所有物認証(SIMカード)で二段階認証兼多要素認証になります。
ですが、メールはメールサーバーへログインするためのパスワードになるので知識認証になるので知識認証(パスワード)+知識認証(メールサーバーへのパスワード)となり二段階認証ではありますが単要素認証になります。
まとめ
今回このまとめを書こうとしたきっかけがこのクイズ
意外と正解率が低いことと、僕自身もちゃんと理解してなかったなーって思ったので。
さて、二段階認証を導入すると決めた7ペイですがどのような仕組みで作ってくるのか楽しみです。
多要素を使ってくるのか知識認証+知識認証の突破されやすい仕組みを作ってくるのか・・・
ただ、利便性だけを求めるとセキュアにするほど利便性は落ちます。
まぁ、最近はそもそもパスワード認証という仕組みから人々を開放するFIDO2という認証の仕組みが進んでます。
今回はそこには触れませんが、おいおい調べていこうかなと思います。
コメント