【多要素認証】自身のアカウントを守ろう

　こんにちは〜インフラエンジニアのtamolabです。これを見られてるみなさんは少なくともスマホやPCからインターネットを扱えていて、note初め複数のSNSなどで個人のアカウントを保有していると思います！昨今私の周りで、Facebookやtwitterなどでアカウントが乗っ取られ、メッセンジャーやDMで「あなただと思います」というメッセージとリンクが送られてくるフィッシングケースが多く見られます。皆さんは個人のアカウントを適切に管理できていますでしょうか？

1. パスワード認証の限界

　パスワード認証とは、皆さんも馴染みのあるとは思いますが、アカウントに対して個人しか知らない文字列で個人を認証する認証方式です。これは皆さんにとってもサービス提供者にとっても便利な認証方式です。主に下記のような点でメリットが見られます。

【パスワード認証のメリット】
・幅広い年齢層ですでに利用されていて、誰でもすぐに利用できる
・パスワードの文字列を複雑化・桁数の増加により強固にできる
・簡単に実装できる
・覚えておくのみで利用可能

　しかし、近年ではパスワードを解読するアルゴリズムがいくつか定まってきました。例えば、「辞書攻撃」、「パスワードリスト攻撃」、「ジョーアカウント探索」や「逆総当たり攻撃」といったパスワード試行のバリエーション、他にも「フィッシング攻撃」、「ウイルスによるパスワード漏洩」、「退職者など過去の管理者からの攻撃」などなどたくさんあります。

　特に、最近の記事では、SSL/TLS通信や電子証明書などで広く使われている2048ビットのRSA暗号においても量子コンピュータの誕生によって、解読の危機も示唆されています。ちょっと話が暗号の方に行きましたが、言いたいことはパスワードを複雑化しても安全とは言えない時代に入ってきているとうことです。

2. 多要素認証について

　上記のこともあり近年では、パスワード認証だけでなく他の認証の仕組みと組み合わせて利用しようという動きが見られます。複数の認証方式を利用することを多要素認証（MFA：Multi-Factor Authentication）と言います。例えば、アカウントログイン時にパスワードを打った後、登録している電話番号にショートメッセージが届きその番号を入力するというログインも立派な多要素認証です。

　多要素認証について、もう少し見ていきましょう。まず、多要素認証にはいくつか種類があります。

【種類1：「知識」私たちが知っていること】
　パスワード、ワンタイムパスワード、秘密の質問、暗証番号など
【種類2：「所有」私たちが持っているもの】
　スマートフォン、トークン(※)など
【種類3：「継承」私たち自身】
　指紋または声解析など、バイオメトリクス

(※)トークンとは一般的には下記のようなものです。

また、最近のGoogleの動向を見ますと上記の要素に加えて下記の要素も追加されているように感じます。

・どこでアクセスを取得しようとするか
　カフェ、自宅、空港、国など
・いつアクセスしようとするか
　夜遅く、または平日の日中など
・どのデバイスを使用するか
　スマートフォン、ノート PCなど
・どんな種類のネットワークにアクセスするか
　プライベートまたはパブリック

これらの要素を複合的に組み合わせて、「あなた」であることを承認しているのです。

3. アカウント運用の考察

　これらの複合的な認証方式（多要素認証）はパスワード認証に比べてより強固であると思われますが、まだ世の中であまり使われていない傾向にあります。例えばFacebookも意図的に多要素認証の設定をONにしなければ利用できません。SNSなどは世界中で利用されているため、世界中のハッカー・クラッカーがあなたのアカウントを狙っていると思い、多要素認証をするべきであると考えられます！（あなたのアカウントとパスワードのペアは本当に高く売れます笑）

　皆さんもご自身が管理しているアカウントについて、
　・使っていないものは削除する
　・パスワードのみの認証の場合は、多要素認証を取り入れる
　・パスワードは定期的に更新し、誰にも教えない（恋人、家族、上司にもNG）
　・メモに残さない（紙、電子）
などしっかり管理していってください！

4. キーワード

#多要素認証 #MFA #IT #パスワード #管理 #IT #エンジニア #インフラエンジニア #ネットワークエンジニア #とは

5. お問い合わせ

　本投稿のコメントでも構いませんし、下記からお問い合わせいただいても大丈夫です。
　note.tamolab@gmail.com