二段階認証に対する攻撃の増加

パスワード認証とSMS認証による二段階認証が突破されたというニュースや以下のような解説記事が目に付くようになってきました。

システムの穴をつくフィッシング詐欺の手口と対策 『二段階認証』も鉄壁ではない？

少し前までは、パスワード認証に対するリスト型アカウントハッキングが横行していたため、SMS認証と組み合わせた二段階認証が主流になってきた矢先に、二段階認証に対する攻撃による突破が増えてきています。

このようになってくると、パスワード認証は不要にした指紋認証などの生体認証を取り入れた多要素認証が主流になってくるのでしょうか。

認証方式には、所有物認証、知識認証、生体認証がありますが、パスワード認証は知識認証になります。秘密の質問も知識認証です。パスワード認証はやめようという動きになれば、知識認証は使わないということになってしまいます。そうすると、所有物認証と生体認証になりますが、SMS認証はパスワード認証と同じく中間者攻撃によって攻撃されてしまうことを考えると、生体認証一択になってしまうのではないでしょうか？もちろん、ワンタイムパスワードのような物理的機器で生成されるのは突破が困難と思いますが、時間的制約をくぐり抜けるのであれば、中間者攻撃にはやはり弱いと思います。

顔認証と指紋認証の二段階認証の組合せは、生体認証で括られてしまうため多要素認証とはならないですが、パスワード認証やSMS認証との組み合わせよりも強い組み合わせのように感じています。

上記の3要素による認証と2つの生体認証、どちらがより強度があるのかは明らかでないような気もします。3要素の強度を証明した理論を読めばもう少し理解できるかもしれません。