「多要素認証(MFA)」ってなんだっけ? クイズを出したら不正解者多数だった件
-
Umic_Y_ANG
- 158262
- 470
- 210
- 932
-
- いいね!932
ものくろ
@monomachina
所持品と、知識による二要素やね。 あまり深く考えてなかったなぁ twitter.com/Umic_Y_ANG/sta…
2019-07-05 21:02:35
森中うみちゃん🍬
@Umic_Y_ANG
Mastodonで別の方が出したクイズが不正解者多数だったので危機感を持ってTwitterでも聞いてみる。 以下のうち、多要素認証(MFA)として正しい組み合わせを選びなさい。
2019-07-04 22:51:45
iotas@創作+エンジニアリング
@tRiaeZ1
領域の違うものを組み合わせるのがポイントなんだけど雰囲気安全そうなところに票入れちゃうんだね twitter.com/Umic_Y_ANG/sta…
2019-07-05 22:00:18正解発表
森中うみちゃん🍬
@Umic_Y_ANG
■正解発表■ 最終結果と正解の発表です。 正解は……1.「キャッシュカードと暗証番号」です! やっぱ正解率低いな! pic.twitter.com/Py08P5Up8f
2019-07-05 22:53:46
拡大
解説
森中うみちゃん🍬
@Umic_Y_ANG
■解説■ 今回取り上げたのは「多要素認証(MFA)」です。 さて、多要素の「要素」とはなんでしょう? せぐなべの「架空世界 認証セキュリティセミナー」を読んでいた方はわかるはずです。これは「知識認証」「所有物認証」「生体認証」の3要素です。
2019-07-05 22:53:47
森中うみちゃん🍬
@Umic_Y_ANG
知識認証とは、パスワードやパスフレーズ、あるいは暗証番号、さらには特定のパターン(Androidのロック画面で使われるようなやつ)が挙げられますね。 カクセキュでは第1回「架空世界の合言葉」で紹介しています。 segunabe.com/2017/07/14/kak…
2019-07-05 22:53:47
森中うみちゃん🍬
@Umic_Y_ANG
所有物認証とは、家の鍵やキャッシュカード、非接触ICカードなどが挙げられます。もちろん印鑑もその一種と言えるでしょうね。 カクセキュでは第2回「架空世界で、かざして認証」で紹介しています。 segunabe.com/2017/07/27/kak…
2019-07-05 22:53:47
森中うみちゃん🍬
@Umic_Y_ANG
生体認証とは、典型的には指紋認証やiPhone XのFace ID、静脈認証、虹彩認証、さらには個人の動きの癖を用いる「動作認証」などが挙げられます。 カクセキュでは第3回「架空世界で生体認証」で紹介しています。 segunabe.com/2017/08/10/kak…
2019-07-05 22:53:48
森中うみちゃん🍬
@Umic_Y_ANG
さて、多要素認証に戻ります。つまり多要素認証とは「知識」「所有物」「生体」の3要素のうち、複数を組み合わせたもので成り立ちます。 最も答えが多かった3.は、指静脈と虹彩、いずれも生体認証ですから、多要素としては成り立ちません。
2019-07-05 22:53:48
森中うみちゃん🍬
@Umic_Y_ANG
2.も同様で、パスワードと秘密の質問はどちらも知識認証です。これも多要素ではありません。4.は…そうです、預金通帳と印鑑はどちらも所有物です。 翻って1.はキャッシュカードという所有物と、暗証番号という知識が組み合わさっているので、多要素認証と言えるのです。
2019-07-05 22:53:48
森中うみちゃん🍬
@Umic_Y_ANG
ちなみに、多要素認証(2要素認証)と多段階認証(2段階認証)は別物です。詳しい説明はせぐなべの記事に譲ります。 segunabe.com/2018/08/31/pas…
2019-07-05 22:53:48
森中うみちゃん🍬
@Umic_Y_ANG
ちなみに、同じ要素を組み合わせるだけではセキュリティはあまり上がりません。 例えばパスワードと秘密の質問というのは基本的に覚える量が増えるだけです。通帳と印鑑の例だと、同じ場所に置いてあったりすると、そこから両方パクって終わりみたいなことが起こり得ます。
2019-07-05 22:53:49
森中うみちゃん🍬
@Umic_Y_ANG
生体認証に至っては、あなたがさらわれて強要されれば、それだけで虹彩認証も静脈認証も突破されてしまいます。もちろん偽装する場合はかなり手間がかかりますので全く意味がないとは言いませんが…。
2019-07-05 22:53:49
森中うみちゃん🍬
@Umic_Y_ANG
一方多要素認証では、キャッシュカードがパクられても、暗証番号を別途聞き出すなり、ブルートフォースするなりしなければ突破できないというわけで、コストの割に強度が高いのです。 (ここではキャッシュカードの磁気部分に暗唱が入っていた時期のことや、4桁数字の脆弱性については一旦置きます)
2019-07-05 22:53:49
森中うみちゃん🍬
@Umic_Y_ANG
なお、多要素認証だから絶対大丈夫、ということは全くありません! これもせぐなべの記事になりますが、フィッシングの手法でこうしたセキュリティはすでに破られています。 segunabe.com/2019/03/01/pas…
2019-07-05 22:53:49
森中うみちゃん🍬
@Umic_Y_ANG
今般話題となった7Payは論外だったわけですが(オムニ7のID忘れ問い合わせフォームを利用することで、ほぼノーコストでアカウント奪取が可能だった)、今後色々なサービスを使う上で、多要素認証があるかどうかというのは、そのサービスを利用するかどうかの一つの指針となるでしょう。
2019-07-05 22:53:50