「7pay」社長の驚愕発言が、笑いごとでは済まないほんとうの理由

「二段階認証知りません」より怖いこと
西田 宗千佳 プロフィール

本人確認する3つの方法

パスワードや暗証番号は、「本人だけが知っている」1つの要素と言える。

だが、本人を確認する要素には、それ以外にも2つある。

すなわち、

  • 本人だけが所持する要素
  • 本人だけが備える要素

だ。

これに、パスワードや暗証番号に代表される「本人だけが知る要素」を加えた3つのうち、2つ以上を同時に用いるものを「多要素認証」とよぶ。

難しそうに思えるかもしれないが、じつはこれ、世の中にはきわめてありふれた考え方である。

たとえば、パスポートや運転免許証などの「写真付きの公的な本人確認書類」は、上記のうち2要素を備えた本人認証だ。偽造が難しい本人名義の書類をもっていることが1要素目(本人だけが所持する要素)で、本人の写真が確認できることが2要素目(本人だけが備える要素)に相当する。

写真が入っていない証明書が本人確認に使えないのは、「もっている」ことだけでは本人だと証明できないからだ。2要素目である「顔写真」が必須なのである。

同様に、パスワードという1要素だけでは本人確認に不足するので、別の要素を追加して守る必要があると考えるのが「多要素認証」なのである。

【写真】顔写真のように、パスワード以外の要素を追加して守る「多要素認証」
  顔写真のように、パスワード以外の要素を追加して守るのが「多要素認証」だ photo by iStock

スマホを活用せよ

スマートフォンが普及して以降、多要素認証を使う場合には、「本人がつねに持ち歩いている」スマホの特性を活かして「2要素目」に用いるのが一般的になっている。

まず、IDとパスワードで1要素目の認証(本人だけが知る要素)をカバーし、本人がもつスマートフォンを活かすことで「本人だけが所持する」という2要素目をカバーするわけだ。

一般的な方法は、スマホに「SMS」というショートメッセージでランダムな暗証番号を送るしくみである。

この暗証番号は短時間で無効となり、SMSが送られたスマホの持ち主以外の人間が知るのは難しい。IDとパスワードを入力したあと、スマホに送られた暗証番号を入力することで、「本人だけが所持する」という2要素目をカバーし、多要素認証を実現しているわけだ。

 

SMSに送信されるランダムな暗証番号は、俗に「ワンタイムパスワード」とよばれ、企業向けシステムなどでは、ワンタイムパスワードをその場で発行するハードウエアを使うこともある。

ワンタイムパスワードには必ずしもSMSを使う必要はなく、アップルのように、事前に登録した「本人だけが所持する」機器に特別な方法で暗証番号と通知を出すものもあるし、Facebookのように、アプリ内にワンタイムパスワードを発行するしくみを備えたものもある。

【写真】スマホの特性を活かして「2要素目」に用いるのが一般的
  「本人がつねに持ち歩いている」スマホの特性を活かして「2要素目」に用いるのが一般的となっている photo by iStock

こうしたやり方が機能するには、そもそもスマートフォン自体が「安全」でなくてはならない。他人にスマホを盗まれないようにするのはもちろん、自分以外に見られないようにする必要もあるから、スマホには自分しか知らないパスコードをかけて守る。

現在のスマートフォンの多くは、指紋認証や顔認証を採用しているが、その理由は、パスコードより手軽で強固だからだ。桁数の少ないパスコードでなく、複雑なパスワードを使ったとしても、指紋や顔認証で代替できるなら、手軽に使えてより高い安全性を確保できる。