二段階認証とは

パスワードはウェブ上でのログインの事実上の標準ですが、比較的簡単に破られる可能性があります。良いパスワードを作成し、定期的に変更しても、ログインする場所に保存する必要があり、サーバーの侵害によって漏洩する可能性があります。人を特定する方法は、彼らが持っているもの、彼らの特性、そして彼らが知っていることの3つです。

パスワードでログインすることは単一段階認証です。これは、あなたが知っていることのみに依存しています。二段階認証は、定義上、あなたの身元を証明するために3つの可能な要素のうちの2つを使用するシステムです。しかし、実際には、現在の二段階認証の実装は依然として知っているパスワードに依存していますが、あなたの電話や他のデバイスを使用して持っているものを認証します。

3つの可能な要素

ユーザーを特定するための3つの可能な方法があります。

あなたの特性

各ユーザーに固有の多くの特性があり、それを使用して特定できます。最も一般的なのは指紋ですが、網膜、声、DNA、または個人に特有の他の何かも機能します。これは生体情報と呼ばれ、これらの情報はすべて人の生物学に属します。

生体要素は、簡単に偽造できず、ユーザーが失ったり忘れたりすることがないため、興味深いです。しかし、生体認証は難しいです。なぜなら、失われた指紋は決して置き換えられないからです。ハッカーが指紋のデータベースにアクセスした場合、ユーザーはそれをリセットしたり、新しいセットを取得したりする方法がありません。

2013年、AppleはTouchIDを発表しました。これにより、ユーザーは指紋を使用してiPhoneのロックを解除できます。この技術は興味深いです。なぜなら、指紋はクラウドではなく、電話にローカルに保存されるからです。クラウドに保存されていると、ハッカーが盗むのが容易になります。この種のアプローチには依然としてトレードオフがありますが、これまでのところ生体認証の最も広範な消費者利用です。

あなたが持っているもの

所持要素とも呼ばれ、ユーザーは持っているデバイスによって特定できます。伝統的に、二段階認証を有効にしたい企業は、ユーザーに安全なキーチェーンのキーフォブを配布していました。キーフォブは30秒ごとに新しい番号を表示し、その番号はユーザーがログインするたびにパスワードと共に入力する必要があります。

現代の二段階認証は、新しいハードウェアよりもユーザーのスマートフォンに依存することが多いです。このモデルの一般的な例は、SMSを使用して簡単な2番目の要素を提供します。ユーザーがパスワードを入力すると、ユニークなコードを含むテキストメッセージが送信されます。そのコードをパスワードの後に入力することで、ユーザーは自分の電話を持っていることを証明します。残念ながら、SMSは安全な通信チャネルではないため、スマートフォンアプリやプラグインがその安全なチャネルを作成するために開発されました。

あなたが知っていること

最も馴染みのある認証形式は知識要素、またはパスワードです。Open Sesameと同じくらい古くから、パスワードは匿名認証の標準でした。知識要素が機能するためには、両方の当事者がパスワードを知っている必要がありますが、他の当事者はそれを見つけたり推測したりできない必要があります。

最初の課題は、信頼できる当事者とパスワードを安全に交換することです。ウェブ上で新しいサイトに登録する際、パスワードはそのサイトのサーバーに送信され、プロセス中に傍受される可能性があります(これが、登録やログイン時に常にSSLを確認すべき理由です — HTTPS)。

パスワードが受信されたら、それは秘密に保たれなければなりません。ユーザーはそれを書き留めたり、他の場所で使用したりしてはいけません。また、サイトはハッカーがパスワードにアクセスできないようにデータベースを慎重に保護する必要があります。

最後に、パスワードを確認する必要があります。ユーザーがサイトを訪れると、パスワードを提供し、保存されたコピーと照合される必要があります。この交換も傍受される可能性があるため(常にSSL経由で行うべきです — HTTPS)、ユーザーは別のリスクにさらされます。

利点

サイトのセキュリティを向上させるためのさまざまな場所がありますが、WordPressセキュリティチームは述べています「オンラインで行うすべてのセキュリティの最も弱いリンクはあなたのパスワードです。」したがって、サイトのその側面を強化するためにエネルギーを注ぐことは理にかなっています。

欠点

名前が示すように、二段階認証はすでに長くて面倒なプロセスにステップを追加しています。今日では、ほとんどの非常に高いセキュリティのログインが二段階認証で保護されていますが、ほとんどの消費者アプリケーションは、提供されている場合でも、ほとんどオプションとして提供していません。これは、ユーザーがより困難な場合、サービスにサインアップしたりログインしたりする可能性が低くなるためです。

二段階認証は、正当なログインを妨げることもあります。ユーザーが自宅に電話を忘れ、二段階認証が有効になっている場合、アカウントにアクセスできなくなります。これは、スマートフォンが二段階認証に役立つ理由の1つです。ユーザーはほとんど他の何よりも電話を持っている可能性が高いからです。

二段階認証のためのプラグイン

WordPress.orgプラグインリポジトリで利用可能な二段階認証プラグインを検索できます。ここでは、始めるための最も人気のあるものをいくつか(アルファベット順)紹介します:

関連情報

変更履歴