多要素認証(2段階認証)に思うこと
先日(つってもかなり前だけど),我々苫小牧高専の1年は情報基礎の授業でMicrosoftアカウントの2段階認証の設定をしました.教員たちも2段階認証を設定したようで,某教員は授業の遠隔配信をする時に2段階認証で激しく苦戦していました.
さて,僕はこのような多要素認証には「親切な多要素認証」と「おせっかいな多要素認証」があると思っています.そんなわけで,まずは「多要素認証ってなんだ」ってところから見ていきましょう.
#1. 多要素認証ってなんだよ
とりあえずWikipediaの記事を貼っときます.
多くのアカウントを使うサービスでは,一般的に「ID」と「パスワード」で利用者を認証します.高専生の皆さんなんかはBlackboardを使うことも多いでしょう.あれのログインでは「イニシャル+学生番号」を「ID」としています.パスワードはみなさんが勝手に決めた文字列になってるはずです.これが従来の,昔からある認証の方法です.
ただ,これだとIDとパスワードが漏れてしまった場合誰でもログインできてしまいます.IDやパスワードって,厳重に管理しているようでも実はけっこう漏れてるもんです.このような「抜け穴」を塞ぐためのものが多要素認証,ということになります.
具体的には,パスワードの他になにか別の要素を登録しておき,それがないとログインできないようにする方法が多いです.
Microsoftの2段階認証では多くの人がSMS認証を使っているのではないかと思います.Microsoftアカウントに前もって電話番号を登録しておき,その番号あてに番号の書かれたSMSを送らせる方法です.SMSは基本的に携帯電話に届くので,不正にログインしようとしてる人がログイン先の人のスマホを奪い取りでもしないかぎりログインは不可能です.
他によくあるパターンでは「生体認証」ってものがあります.「顔認証」とか「指紋認証」とかいうのがそれで,要するに他人が模倣できないその人固有の身体的特徴を使った認証方法です.体を操られたり自分のクローン人間が登場でもしない限り突破されることはないでしょう.
さて,この中から2つの認証方法を組み合わせれば,それはもう2段階認証です.どう考えてもたくさん組み合わせたほうがいいんだから,できることなら2要素どころか3要素も4要素も組み合わせたガッチガチのセキュリティを固められたらそれが一番いいでしょう.ですが,そうはいきません.ここからは,さっき僕が書いた「親切な多要素認証」と「おせっかいな多要素認証」の話につながってきます.
#2. やりすぎはよくないよねって
さて,今あなたは親のパソコンを借りて,某140字くらいまでの短文を投稿するSNSサイトにログインしようとしています.あなたにとってツイー......ゲフンゲフン,SNSへの投稿は呼吸みたいなものなので,一刻も早くログインしたいところです.IDを入力,パスワードを入力し,ログインボタンをクリック.さて,ようやく快適なSNSライフへ......と思いきや,多要素認証の画面が立ち上がってきました.携帯電話のSMS認証が必要なようです.あなたはスマホを自室から持ってきて,届いた確認コードを入力しました.さて,ようやくログイン......はできず,今度は電子メールから確認しなきゃいけないみたい.登録しているGmailにログインを試みたところ,またまた多要素認証の画面が......
なにが言いたいかと言うと,はっきり言って多要素認証はめんどくさいんです.セキュリティの観点から,多要素認証というものは大切なものですが,やりすぎはよくないわけです.
#2_1. おせっかいな多要素認証
先に言っときます.僕は別に多要素認証アンチとか多要素認証陰謀論者とかそういう種類の人類じゃありません.うまく使えば,多要素認証は強固なセキュリティをつくる助けになります.どんどん使いましょう.
さて,これはサービス側の話です.多要素認証,適度にやる分にはいいんです.例えば,スマホで作ったGoogleアカウントにPCから初めて入るとき.このようなときは,「何時何分にどこどこからあんたのアカウントにログインしようとした奴がいたけど,コレあんたで間違いない?ログインさせちゃっていいカナ⁉」的な通知をスマホに送って,多要素認証で間違いのないようにする必要があります.
さて,ここでユーザがこのログインを承認した場合,GoogleはこのPCを信用してしまってOKです.この時点で,このPCの持ち主とアカウントの持ち主が同一であることは間違いないからです.次回からは,少なくとも2段階認証はしなくてもいいわけです.それなのに,Googleを開くたびに2段階認証が必要になるとしたら.あなたがユーザの立場だとしたらどう思うでしょうか.
正直,「かなりめんどくさい」と思います.
Google使うたびにスマホでSMS確認しなきゃいけないんですよ.そんなんウザいに決まってるっしょ.
これが「おせっかいな多要素認証」です.
#3. 要するに
要は,厳重に管理必要があるのは今のところ初めてのデバイスでログインするときぐらいです.
そもそも,ログインのたびに2段階認証の確認画面が出てくるのであれば,ユーザはめんどくさがって2段階認証の設定を解除してしまうかもしれません.これじゃ意味がないです.
2段階認証を登録したが最後,ログインのたびに煩雑な2段階認証を求めてくるサービスは残念ながら大量にあります.何事もやりすぎはよくないです.少なくとも現時点ではログインのたびに過剰な2段階認証を課す必要はねーんじゃねーの,っていうお話でした.
でもみなさん2段階認証が使えるサービスでは2段階認証使いましょうねー.めんどくさいかもしれないけどアレけっこう有能だから.以上.