ブレーンアシストオンライン

二要素認証と二段階認証の違いについて調べてみた。

「二要素」と「二段階」、似ているようで似ていないこの言葉を、セキュリティの現場で見聞きすることが増えてきました。
以前、とある大手スーパー・コンビニのチェーンで利用を開始したアプリの脆弱性が問題となったときに話題になったのを覚えている方もいるでしょう。

二段階認証で経営者が「立ち往生」、7pay事件で見えたガバナンス不在
https://xtech.nikkei.com/atcl/nxt/column/18/00849/00002/

認証の三要素

認証には「三要素」とよばれる3つの要素があります。


出典:https://eset-info.canon-its.jp/malware_info/special/detail/210311.html

1.知的要素

例)パスワードやPINコード

2.所有要素

例)ワンタイムパスワード(ハードウェアトークンを利用)やスマホ

3.生体要素
例)指紋や静脈

二要素認証(多要素認証)

上記の三要素の内、2つの要素を用いた認証を「二要素認証」と呼びます。(2つ以上の要素を用いた認証を総じて「多要素認証」とも呼びます)例えば、銀行で用いられている、キャッシュカードと暗証番号の組み合わせた認証もこれに当てはまります。

二段階認証

三要素の内、1つの要素のみを用いた認証を「二段階認証」と呼びます。

従来からよくある認証方法で、例えばパスワード認証とSMS認証を組み合わせたものも「二段階認証」です。

電話番号を利用するSMS認証は手軽だとは思いますが、海外の事例ではSMSの番号(携帯番号)の乗っ取り被害があったようです…。

SMS認証はダメ。セキュリティ対策の注意点を徹底解説
https://www.lifehacker.jp/2021/03/232050please-stop-using-text-messaging-to-receive-login-codes.html

より安全なセキュリティのために…

二要素認証(多要素認証)と二段階認証、言葉としては似ているようでも、実はセキュリティ面ではメリット・デメリットが異なります。安全面でいえば、もちろん「二要素認証(多要素認証)」をおススメします。次点で「二段階認証」となるでしょう。二要素でも二段階でもなく、パスワードのみを用いるような認証は、パスワードの長さや複雑さに要注意です。

コンビニATMのイーネット、公式Twitterが乗っ取り被害に 「全口座を閉鎖」「騒ぐな」などツイートされる
https://www.itmedia.co.jp/news/articles/2103/24/news073.html