デュアル認証:セキュリティに必要な追加積み重ねる

トピック

Cloud Security, Biometric Authentication

二重認証では、ログイン認証情報 (通常は生体認証要因またはセキュリティトークン) を使用して追加の認証方法を使用する必要があります。このセキュリティの積み重ねる度合いにより、IT 部門は権限のないユーザーがアカウントや情報にアクセスするのを困難にする可能性があります。

2つの要素からなる認証は、機密性の高いシステムや機密データへのアクセスをより適切に制御します。

デュアル認証とは何ですか?

つまり、デュアル認証では、2つの形式の認証方法を使用してIDを確認します。 2FAと2要素認証に加えて、ITは2段階認証と二重要素認証と呼ばれることもあります。

これは、ログインとパスワードだけでシステムやアカウントにアクセスできるSFA(Single-Factor Authentication)からのステップアップです。ログイン認証情報が侵害されたり、ハッキングされたり、盗まれたりする可能性があります。その結果、複数の形式の承認を必要とする多要素認証 (MFA) メソッドの方が安全です。

デュアル認証では、認識された 3 つの要因のうち 2 つを ID 検証に使用する必要があります。

あなたが知っているもの、通常はパスワードや PIN
携帯電話、クレジットカード、ハードウェアトークンなど、ユーザーが持っているもの
指紋や顔のスキャンなどの生体認証マーカーなど、あなた自身が何か

デュアル認証方式では、これらの認証要素のうち 2 つを使用して、システムまたはサービスにアクセスします。

デュアル認証の仕組み

二重認証を使用するには、ユーザーは 2 つの承認要素を提供する必要があり、それぞれが異なるカテゴリに属している必要があります。

たとえば、パスワードと秘密の質問に対する回答はどちらも知識ベース認証要素と見なされるため、2 つの要素を持つ認証方法としてカウントされません。代わりに、パスワードを提供し、次に指紋などの2番目の要素を提供して、アクセスして身元を確認する必要があります。

各ベンダーまたはアプリケーション (アプリケーション) は、2 要素認証を有効にするための異なる方法を持つことができますが、一般的なマルチステッププロセスは次のようになります。

アプリケーション (アプリケーション) または Web サイトは、ユーザーにログイン認証情報の入力を求めます。
ユーザーは、知識ベース情報 (通常はユーザー名とパスワード) を入力します。
パスワードが不要な場合、Webサイトは多くの場合、Webサイトのサーバーによって検証および認証された一意のセキュリティキーを使用しています。
その後、Webサイトまたはアプリケーション(アプリケーション)は、2番目のログインステップを通じて2番目の形式の認証を要求します。
ユーザーは、顔認識スキャン、指紋スキャン、IDカード、セキュリティトークン、スマートフォンなど、自分が持っている、または所有しているものを提供します。
ユーザーは、前の手順で生成されたワンタイムコードを指定したデバイスに入力するように求められる場合があります。
両方の認証要素が検証され、アクセスが許可されます。

ユーザーは、サービスまたは製品にアクセスするために両方の形式の認証を提供できる必要があるため、どちらかが漏洩/侵害であっても、アクセスは安全なままです。

パスワードの問題

パスワードは、さまざまな理由から存在するセキュリティの最も安全性の低い形式です。より高度なサイバー犯罪者と進化するハッキング手法により、より安全なシステムとアカウントに対する固有のニーズがあります。

FBIによると、2020年にサイバー犯罪で最も一般的な形態の1つは、フィッシング攻撃でした。フィッシング詐欺は、パスワードを含むユーザーのログイン認証情報にアクセスできるため、特権付きデータや情報にアクセスできます。

パスワードは、次の理由から、ユーザー認証の弱い形式です。

人性：ITは、シンプルで覚えやすいパスワードは推測しやすく、したがって盗まれることが証明されていますが、人間のユーザーは覚えられるものに固執し続けています。パスワードは一般的に単純すぎるか、見つけやすい場所に配置されており、ユーザーにとっては簡単ですが、権限のない可能性のあるユーザーにとっても簡単です。
幅広い用途:多くの場合、ユーザーは物事を簡単にするために、さまざまなプラットフォームやアカウントで同じパスワードまたはパスワードの組み合わせを使用します。これにより、ハッカーは1つのパスワードを盗むだけで、ユーザーのデジタルフットプリントの多くに簡単にアクセスできるようになります。
変更頻度が十分でない:セキュリティを強化するために、パスワードは定期的に変更して、侵害やハッキングを防ぐ必要があります。ただし、ほとんどの場合、ユーザーはこの手順を実行しません。
パスワード疲れ: ユーザーは、多くの場合、安全で頻繁に変更されるパスワードを使用して善意で開始しますが、ITは多くのパスワードの変更に追いつくのが難しい場合があります。多くの場合、ユーザーは脆弱なパスワードに戻します。
安全でないストレージ:パスワードは、安全でないデジタルまたは物理的な場所に保存される可能性があります。そのため、パスワードが強力であっても、IT部門は盗難に対しても脆弱です。

FTC(連邦取引委員会)は、2020年に200万件以上の詐欺の報告を受け、損失は35億ドルに終わりました。

ヒューマンエラーは、インターネット詐欺やサイバー犯罪の最も一般的な原因の1つであり、犯罪者は機密情報や機密情報にアクセスできます。パスワードは、悪意のある人物が盗んだり、模倣したり、推測したり、侵害したりするのが最も簡単なものの1つです。このため、インターネット上のデータを保護する主要な方法、または唯一の方法として使用しないでください。

デュアル認証製品の種類

デュアル要因認証製品には、ユーザーがログイン時に受け取るトークンと、トークンの正しい使用に基づいてユーザーを認識して認証するソフトウェアまたはインフラストラクチャの 2 つの主要なカテゴリがあります。

2 つの要素認証を実装できるサービスやデバイスには、さまざまな種類があります。認証トークンは、ソフトウェアやアプリケーション(アプリケーション)に組み込むことも、ITを小さなハードウェアの物理的な部分にすることもできます。

これらは、デュアル認証製品の一般的な例です。

Hardware トークン:実際のハードウェアは、通常、キーフォブ、IDカード、または小さなUSBデバイスです。デュアル認証プロセスでは、デバイスから直接コードを読み取るか、ユーザーがトークンから一意のコードを入力します。
Software トークン:これは、ソフトウェアが生成した時間ベースのワンタイムパスワード(TOTP)を使用し、ITはしばしばソフトトークンと呼ばれます。ソフトウェアトークンを使用すると、ユーザーは通常、この形式の認証に必要なアプリを最初にダウンロードしてインストールする必要があります。最初のログイン後、コードが生成され、同じデバイスのアプリに表示されるため、セキュリティが強化されます。
SMS ベース:この2FAの形式では、ユーザーがユーザー名とパスワードを入力した後、アプリケーション(アプリケーション)またはWebサイトは、テキストメッセージを介してユーザーの電話にワンタイムパスコード(OTP)を送信します。その後、ユーザーはアクセスするためにコードを入力するように求められます。音声ベースの2FAも同様のテクノロジーを使用しますが、IT部門はテキストメッセージではなく口頭でコードを送信します。
プッシュ通知:デュアル認証のより高度な形式には、アクセスを試みているユーザーに直接プッシュ通知を送信するWebサイトとアプリケーション(アプリケーション)があります。デバイスの所有者は、受信時に、コード全体をシステムに入力し直す代わりに、簡単なタッチでアクセスを承認または拒否できます。

これは、インターネットに接続され、アプリケーション(アプリケーション)をダウンロードできるデバイスにのみ適用されます。それらはユーザーフレンドリーで非常に安全です。

生体認証:指紋、網膜スキャン、顔認識などの生物学的情報および個人情報の使用は、2つの要素認証のフォームとして機能します。ユーザーは、組み込みの指紋スキャナーで指紋をスキャンするか、デバイスのカメラを使用して認証します。

デュアル認証を使用するのは誰ですか?

多くのWebサイトやアプリケーション、および会社概要や組織は、システムやサービスの安全性を高めるために、2つの要素による認証に依存しています。

多くの場合、ユーザーは IT を使用するために 2FA をアクティブ化または設定する必要があります。ほとんどのオンラインサービスプロバイダー、多くのWebサイト、およびアプリケーション(アプリケーション)はすべて、二重認証のオプションがあります。

以下は、2 つの要因による認証を使用した主要な会社概要の例です。

会社概要と組織は、安全なプラットフォームとデータベースにアクセスするために、多くの場合、2 つの要素による認証を必要とします。ログイン認証情報に加えて、ハードウェアトークンまたは生体認証の使用が必要になる場合があります。

アプリケーションやWebサイトなどのオンラインプラットフォームでは、セキュリティを強化するために二重認証要素も実装されていることがよくあります。

デュアル認証とモバイルプラットフォーム

世界は日々、ますますデジタル化が進んでいます。その結果、認証検証プロセスの多くはモバイルプラットフォーム上で実行されます。

デュアル認証では、例えば、生体認証機能を含むことが多いスマートフォンを2要素認証に使用しています。スマートフォンは通常、指紋を読み取り、写真を撮り、顔をスキャンして顔認識することができます。

電話機はテキストメッセージを送受信でき、SMS ベースの二重認証や音声ベースの認証要素に使用できます。スマートフォンはGPSの位置を追跡することが多く、これを使用してユーザーを確認し、ユーザー情報に基づいて2FAを実施できます。モバイルデバイスでは、ユーザーが外出先で受信できるプッシュ通知を送受信することもできます。

今後の認証

サイバーセキュリティの重要性と関連性がますます高まるにつれ、認証とアイデンティティ検証の方法がますます重要になっています。

パスワードの使用は、今日でも最も一般的な認証要素の一部ですが、繰り返しになりますが、最も安全性が低いです。会社概要とサービスは、少なくとも 2 つの要素からなる認証モデルに移行しています。多くの人は、少なくとも3つの認証タイプすべてを必要とする多要素認証(MFA)を検討し始めています。

これは、パスワードとユーザー名に加えて、物理トークンと生体認証マーカーも使用するようにユーザーに求められることを意味します。生体認証は、入力速度や、キーストロークの長さやWebサイトのサーフィンパターンなど、ユーザーがデバイス、タッチスクリーン、またはマウスを操作する方法を読み取ることができる生体認証識別子の使用にも拡大しています。

人間は本質的に習慣の生き物であり、生体認証識別子は、ユーザーが本人であるかどうかを判断するのに役立ちます。デバイスの種類、アクセスされる時間帯、位置情報も認証要素として利用することができます。

また、組織は、ユーザーが安全でないパスワードを入力する必要をなくしながら、ITセキュリティの維持に役立つパスワードレス認証機能も模索しています。ブロックチェーン、ゼロトラストセキュリティ原則、分散型アイデンティティ、自己主権型アイデンティティはすべて、パスワードを必要とせず、組織内のログインプロセスの制御を維持するための検討すべきオプションです。