2要素認証を導入するWebサービスが増えてきた理由の考察

2要素認証(多要素認証)と言われてもピンとくる人はあまり多くないのではないでしょうか。

以前のブログでも書きましたが、ID/PW以外のもう1要素を追加して、サービスのセキュリティレベルをUPさせる仕組みです。

そもそも、2要素認証を導入するWebサービスが増えてきたのは、人間が記憶できるID/PWの組み合わせの数に限界があるからなのではないかと思います。

例えば、楽天銀行のログイン画面では
72a97cc0-s
他のサイトと同じID・パスワードを設定している場合は直ちに変更ください。とこんなにも強く書いてあります。

INSTで提供しているSMS配信SaaS「INST SMS」でもそうなのですが、ブラウザからID/PWを入力するだけで使えるWebサービスはとても便利ですが、その反面、ID/PWがあれば誰でもどこからでもログイン出来てしまうという脆弱性といつも隣り合わせです。

もちろん各WebサービスともにID/PWは漏洩しないように対策をしているとは思うのですが、万が一、他のサイトでID/PWが流出してしまい、同じID/PWでログイン出来るサービスがあったばあい、不正ログインの被害にあってしまいかねないのです。楽天銀行はそれを警戒しているのでしょうね。お金を取り扱うサービスですから当たり前ですね。

こういったサービスでは是非、SMSを使った2要素認証の導入を検討頂きたいと思います。

たとえば、Dropbox。
使っている方も多いと思いますが、新しい端末からログインするとこんな画面が表示されます。
※auの検証用に購入したGalaxyS3の画面

61357fd5-s

ID/PWだけではなく、事前に登録してある携帯電話番号宛にセキュリティコードを送って、それでの認証を行う仕組みになっています。

145f3a8c-s
実際に届いたSMSがこれ。こちらは通話機能があるSIMを挿してあるXperiaZultraです。
見ていただいたらわかるように、毎回違うワンタイムパスワードを送っているのです。

ID&PW+もう1要素。どんどん便利になっていくWebサービスを、安全に使うためにもSMSは活用できますね。SMSを使った他要素認証のご相談はぜひお気軽にご連絡ください

それでは。

Kosuke