「多要素認証(MFA)」ってなんだっけ? クイズを出したら不正解者多数だった件
- Umic_Y_ANG
- 158262
- 470
- 210
- 932
所持品と、知識による二要素やね。 あまり深く考えてなかったなぁ twitter.com/Umic_Y_ANG/sta…
2019-07-05 21:02:35Mastodonで別の方が出したクイズが不正解者多数だったので危機感を持ってTwitterでも聞いてみる。 以下のうち、多要素認証(MFA)として正しい組み合わせを選びなさい。
2019-07-04 22:51:45領域の違うものを組み合わせるのがポイントなんだけど雰囲気安全そうなところに票入れちゃうんだね twitter.com/Umic_Y_ANG/sta…
2019-07-05 22:00:18正解発表
■正解発表■ 最終結果と正解の発表です。 正解は……1.「キャッシュカードと暗証番号」です! やっぱ正解率低いな! pic.twitter.com/Py08P5Up8f
2019-07-05 22:53:46解説
■解説■ 今回取り上げたのは「多要素認証(MFA)」です。 さて、多要素の「要素」とはなんでしょう? せぐなべの「架空世界 認証セキュリティセミナー」を読んでいた方はわかるはずです。これは「知識認証」「所有物認証」「生体認証」の3要素です。
2019-07-05 22:53:47知識認証とは、パスワードやパスフレーズ、あるいは暗証番号、さらには特定のパターン(Androidのロック画面で使われるようなやつ)が挙げられますね。 カクセキュでは第1回「架空世界の合言葉」で紹介しています。 segunabe.com/2017/07/14/kak…
2019-07-05 22:53:47所有物認証とは、家の鍵やキャッシュカード、非接触ICカードなどが挙げられます。もちろん印鑑もその一種と言えるでしょうね。 カクセキュでは第2回「架空世界で、かざして認証」で紹介しています。 segunabe.com/2017/07/27/kak…
2019-07-05 22:53:47生体認証とは、典型的には指紋認証やiPhone XのFace ID、静脈認証、虹彩認証、さらには個人の動きの癖を用いる「動作認証」などが挙げられます。 カクセキュでは第3回「架空世界で生体認証」で紹介しています。 segunabe.com/2017/08/10/kak…
2019-07-05 22:53:48さて、多要素認証に戻ります。つまり多要素認証とは「知識」「所有物」「生体」の3要素のうち、複数を組み合わせたもので成り立ちます。 最も答えが多かった3.は、指静脈と虹彩、いずれも生体認証ですから、多要素としては成り立ちません。
2019-07-05 22:53:482.も同様で、パスワードと秘密の質問はどちらも知識認証です。これも多要素ではありません。4.は…そうです、預金通帳と印鑑はどちらも所有物です。 翻って1.はキャッシュカードという所有物と、暗証番号という知識が組み合わさっているので、多要素認証と言えるのです。
2019-07-05 22:53:48ちなみに、多要素認証(2要素認証)と多段階認証(2段階認証)は別物です。詳しい説明はせぐなべの記事に譲ります。 segunabe.com/2018/08/31/pas…
2019-07-05 22:53:48ちなみに、同じ要素を組み合わせるだけではセキュリティはあまり上がりません。 例えばパスワードと秘密の質問というのは基本的に覚える量が増えるだけです。通帳と印鑑の例だと、同じ場所に置いてあったりすると、そこから両方パクって終わりみたいなことが起こり得ます。
2019-07-05 22:53:49生体認証に至っては、あなたがさらわれて強要されれば、それだけで虹彩認証も静脈認証も突破されてしまいます。もちろん偽装する場合はかなり手間がかかりますので全く意味がないとは言いませんが…。
2019-07-05 22:53:49一方多要素認証では、キャッシュカードがパクられても、暗証番号を別途聞き出すなり、ブルートフォースするなりしなければ突破できないというわけで、コストの割に強度が高いのです。 (ここではキャッシュカードの磁気部分に暗唱が入っていた時期のことや、4桁数字の脆弱性については一旦置きます)
2019-07-05 22:53:49なお、多要素認証だから絶対大丈夫、ということは全くありません! これもせぐなべの記事になりますが、フィッシングの手法でこうしたセキュリティはすでに破られています。 segunabe.com/2019/03/01/pas…
2019-07-05 22:53:49今般話題となった7Payは論外だったわけですが(オムニ7のID忘れ問い合わせフォームを利用することで、ほぼノーコストでアカウント奪取が可能だった)、今後色々なサービスを使う上で、多要素認証があるかどうかというのは、そのサービスを利用するかどうかの一つの指針となるでしょう。
2019-07-05 22:53:50