news

セキュリティについて5

セキュリティについて5

皆様こんにちは。
システムの知恵袋、細谷です。
投稿が遅れてしまい、申し訳ありませんでした。

少し雑談などが挟まりましたので本日はセキュリティの一つで「2段階認証」について説明しましょう。
ざっくり言いますと、「オンラインとオフラインで2回の認証を行うことでログインを防ごう」というものです。


現在システムではIDとpasswordの組み合わせだと、総当たりすればいつかは当たってしまうという事は以前にもお話いたしました。
では定期的に変えればいいじゃないかという事もお話ししましたが、何億分の一の確率でも引かれてしまったらアウトになってしまいます。

でも、複雑化しても確率が変動するだけで、引かれてしまったらやはりそこでアウトです。
そんな逆宝くじにエントリーはしたくありませんよね?

でも、確率をゼロにするのはオンライン上だけでは無理です。
アクセス制限を付けても「偽装」により、アクセスされてしまう可能性が否定できません(=ゼロにはならない)

そこで出てくるのがオフラインでも認証を行う「2段階認証」になります。
あなたの手元にあるモノを使って認証を行えば、総当たりで引かれたとしても、
あなたが許可をしなければログインが出来ません。

たとえオフラインの端末が盗まれても、そこにつながっているオンラインのIDを紐つけなければいけません。
つまりまた、何千万何億というアカウントの「総当たり」作業が始まります。しかもこの作業には「そもそも登録されていないから、無駄骨になる」という可能性があります。
また端末を見ていないといけない為、人の目が必要になります。

なので、相手がやりたくない>やらない(0%)
という事になります。

この2段階認証には携帯が使われることが多いです。
というのも、電話番号という「その人しか使わない」情報がはいっていて、「常に持ち運ぶ」モノでもあるからです。
現代で携帯を持たない人というのは少数派ですし、これは少し偏見になりますが、スマホを持たずにSNSをがりがりやっている人というのはイメージが付きにくいです。
なので、無理やり複雑なパスワードにするぐらいなら、あなたの手元のスマホを「認証用端末」にしてしまうのが、面倒な作業がなくなると思いませんか?

今後このオフライン・オンライン認証という形はセキュリティの主流になると思います。
もし皆様が使っているサービスが2段階認証を導入しているのであれば、ご検討してみてはいかがでしょうか?
それでは失礼いたします。