20.3.1.4. より強力な認証方法
インターネット上でのパスワードをめぐる事故は枚挙にいとまがなく、最近では固定されたパスワードのみによる認証を避け、パスワードと他の情報を組み合わせた、より強力な認証方法が導入される傾向にあります。そうした認証方法をいくつか紹介します。
ワンタイムパスワード #
ワンタイムパスワードとは、使い切りのパスワードという意味です。ログインする度に異なるパスワードを用いるため、攻撃者からすれば正面からパスワードを破りに行くという攻撃方法が使えず、固定されたパスワードを使うのに比べて段違いに強度が上がります。
ワンタイムパスワードを利用するには、利用者が何らかの手段でワンタイムパスワードを知らなければいけません。たとえば大手銀行が提供するワンタイムパスワードのサービスでは、サービス利用者に予めワンタイムパスワードを生成する機械を送っておき、利用者はそれを見ながらパスワードを入力します。また Google や Yahoo の導入している 2 段階認証システムでは、次に説明するように携帯端末と連携することでワンタイムパスワードを実現しています。
携帯端末との連携 #
携帯電話などの端末を利用することによっても、次のようにして認証の強度を上げることができます。
- サービス利用者は、予め自分の携帯端末のメールアドレスを登録しておきます。
- 利用者がサービスへのログインを試みようとしたとき、携帯端末にメッセージが送られるようにしておきます。
- 利用者は携帯端末に届いたメッセージの情報を用いることで、ログインを行います。
たとえば Google や Yahoo の 2 段階認証では、ログインを試みる度にワンタイムパスワードが携帯端末に送られるようになっています。必ずしもワンタイムパスワードと併用する必要はありませんが、携帯端末との連携をすることによって、攻撃者は携帯端末を乗っ取る必要に迫られます。こうした手法も、安全な認証を行うには大変有効です。
生体認証 #
パスワードに取って変わる認証方法として注目されるものの一つに生体認証があります。これは指紋や手のひらの静脈など、人それぞれで異なるものを利用して認証を行うものです。既に銀行の ATM などで利用している人もいるかもしれません。まだ家庭のコンピュータやスマートフォンには生体認証が普及していませんが、認証装置の価格低下などが進めば、生体認証が一般的になる日が来るのかもしれません。