この記事は機械翻訳されました。
あらゆる種類のアプリケーション (アプリケーション) は、仕事の一部として使用するか、他の日常的な活動で使用するかに関係なく、認証を通じてユーザーにサービスへのアクセスを提供します。 アプリを介してフィルタリングする情報の機密性に応じて、異なるタイプの認証方法が必要であり、それぞれが異なるリスクレベルに対応します。
データ漏洩がますます増加する時代において、アクセスの認証には、ユーザー名やパスワードの認証情報だけではもはや不十分です。 むしろ、組織は複数の認証要素を積み重ねると同時に、各要因にはIT部門独自の長所と短所があることを理解しておく必要があります。
認証要素のタイプ
各種類の認証は要因と呼ばれます。 これらは、ユーザーの身元を確認し、本人ではないと主張する人のアクセスをブロックするために使用されます。 これらの要因は、保証レベルが最も低いものから最も保証レベルが高いものまで、3つのグループ(グループ)に分けられます。
Knowledge 要因: これらは、パスワードやセキュリティの質問への回答など、ユーザーが知っていることです。
Possession 要因: これらは、ユーザーが所有している、または行動を起こすことができるものです。 これには、モバイルデバイスに送信されるSMSコード、Eメールで送信されるワンタイムパスワード(OTP)、プッシュ通知が含まれます。
Biometric 要因: これらはユーザーです。 生体認証には、指紋スキャンや顔認証が含まれます。
これらの要因は、それ自体で十分に安全であると感じるかもしれませんが、組織のリソースとデータをセキュリティで保護するためにどちらを使用するかを決定する前に、セキュリティに関する考慮事項を理解する必要があります。
Secure Authentication Across 要因
ユーザー アイデンティティを検証するツールを実装する場合、IT 部門は、一部の認証要素が他の認証要素よりも強力であり、最も安全だと思っていたものが実際には簡単に漏洩/侵害される可能性があることを理解することが重要です。 たとえば、セキュリティの質問は、E メールからオンラインの政府機関ポータルまで、さまざまなアプリケーションで使用されます。 Googleのアカウント回復に関する大規模な調査によると、セキュリティの質問に対する答えは、攻撃者が推測しやすく、ユーザーが覚えにくいものであることが示されました。
SMSコードの送信は、ITが見た目ほど安全ではない別の要因です。 実際、National Institution of Standard and Technologyは、攻撃者が他人の電話宛てのメッセージを非常に簡単に傍受できるため、SMSコードを認証ツールとして推奨しなくなりました。 認証者 アプリを備えた物理的な USB キーやモバイルデバイスは紛失または盗難に遭う可能性があり、攻撃者が所有要因にアクセスすると、リソースの ID 検証は漏洩/侵害となります。 最も強力であると考えられていますが、指紋や顔認証などの生体認証要素にも弱点があります。 テープを使用して指紋を持ち上げるトリックを見てきましたが、他の生体認証も複製して、アプリケーション(アプリケーション)をだましてユーザーの身元を確認することができます。
Adaptive Multi-factor Authentication (MFA)
セキュアな認証方法をデプロイするには、各要因がもたらすリスクを理解し、それらを効果的に組み合わせてリスクを軽減する必要があります。 ネットワーク、地理、IPゾーンなどのさまざまな状況を評価するアダプティブアプローチは、潜在的な認証要素をリスクレベルに合わせるのに役立ちます。
たとえば、組織の内部データベースが、ネットワーク上のユーザーの都市と郵便番号内にあるユーザーから認証要求を受信した場合、ユーザーの身元を確認するために必要なのは、パスワードと、物理キーや生体認証要因などの中程度の保証レベルが高い認証要素だけであると考えられます。 ただし、リクエストが不明なネットワークから送信された場合や、そのユーザーにとって新しい都市から送信された場合は、ユーザーの身元を証明するためにモバイル プッシュ リクエストを追加することを検討してください。
保証スケールの異なるポイントに配置されている場合でも、すべての認証要素には弱点があります。自社のデータ、つまり従業員や顧客のデータをより適切に保護しようとする組織は、一意のログイン要求ごとにリスクを評価し、それに応じて認証要素を選択する Adaptive MFA アプローチを実装する必要があります。
