2018/10/12

すべての多要素認証方法がセキュアとは言えない事実

mfa, auth, authpoint
2018 年 10 月 12 日 編集部記事

セキュリティ業界や一般ユーザがパスワードの弱点を認識するようになったことから、多要素認証(MFA)の人気が着実に高まってきました。しかしながら、すべての MFA 方法が同じようにセキュアなわけではないことをご存知でしょうか。ほとんどの人は、SMS テキストメッセージ経由でワンタイムパスワード(OTP)を受け取ることが MFA であると考えています。しかしながら、これは実際には NIST が推奨する方法ではなくなっており、それは、パスワードが含まれる SMS を攻撃者が簡単に盗んだり傍受したりできるためです。

ウォッチガードの認証担当ダイレクタである Alexandre Cagnoni が先日、MFA を解説する記事を Dark Reading に寄稿し、いくつかの異なる方法とそれぞれのセキュリティのレベルについて解説しました。いずれの方法にも長所と短所があるため、企業が MFA を導入する際には、それぞれの特長を十分かつ正しく理解することが重要です。たとえば、プッシュベースの認証トークンは、非常に安全で、携帯電話を使用することからユーザにとってとても使いやすい認証方法ですが、データ接続が必要です。ユーザがデータ接続できない場所からログインする必要があることが多い場合は、QR コードベースのトークン方法を代わりに検討することになります。

Alex の記事から、プッシュベースの認証の仕組みを解説している部分を抜粋し、以下にご紹介します。

SMS とは異なり、プッシュメッセージで OTP が送られることはありません。暗号化されたメッセージが送られ、ユーザの電話にインストールされた特別なアプリでのみ開くことができます。したがって、ログイン試行が正当なものかどうかを判断する、コンテキストに基づく情報がユーザにあって、認証を承認あるいは拒否するかを迅速に判断できます。承認すると、一意の OTP がユーザの電話でトークンによって内部的に生成され、それを送り返すことで検証されます。すべての MFA ソリューションにこの仕組みが組み込まれているわけではないため、プッシュ承認メッセージのなりすましやスプーフィングのリスクが大きくなります。

あらゆる形態、あらゆる規模の企業に多要素認証をご利用いただけるようにするため、ウォッチガードは、完全クラウドベースの MFA ソリューションである AuthPoint を提供しています。導入と管理に多額の先行投資と人材が必要とされる、オンプレミスの MFA ソリューションとは異なり、AuthPoint では、完全クラウドベースのセキュア認証サービスをユーザあたり月額数ドルで利用できます。

AuthPoint の詳細についてはこちらをご覧いただき、デジタル認証の歴史については Secplicity のこちらの記事を参照してください。