SCIMプロビジョニングは、多くのクラウドサービスや
近年、2FA(二要素認証)とMFA(多要素認証)という用語が一般的になり、アカウントやWebサービスなどでも設定が必要になっているものもあり、話題に上がっています。
しかし、そんな2FAとMFAの違いを皆さんはご存知でしょうか。
2FAとMFAの主な違いに関して簡単に説明すると、2FAはユーザー名とパスワードの他にもう一つ認証方式を要求するもので、MFAはユーザー名とパスワードの他に二つ以上の認証方式を要求するものです。
2FAとMFAの基本的な違いを解説し、それぞれがどのように機能するかを詳しくみていきましょう。
認証とは?
認証プロセスとは、ネットワークやアカウント、システムへのアクセスを許可する際に、利用者の身元を確認する手続きのことを指します。例えば、アカウントにログインする際のパスワード入力は、そのアカウントが自身のものであることを証明する行為に他なりません。
しかし、パスワードだけを用いた認証は、現代のサイバー攻撃技術の進化により、安全性が著しく低下しています。特に、多くの人々が同じパスワードを複数のアカウントに再利用することで、アカウントの漏洩や流出リスクを高めてしまっています。
結局のところ、アクセスの際に認証ステップが増えるほど、セキュリティは強化されます。ユーザー名とパスワードのみでアクセスするシステムは、それだけでセキュリティが十分であるとは言い難いのが現状です。
2FAとMFAの違いは?
2FAとMFAの違いについて言及する前に、まずはそれぞれの定義について学んでいきましょう。
2FAとは?
二要素認証(2FA)とは、英語では2FA(Two-Factor Authentication)の略で、二要素の認証を必要とする認証形式のことです。第一要素はユーザー名とパスワードで、第二要素は自分で選ぶ認証方法です。
MFAとは?
多要素認証 (MFA)とは、英語ではMFA(Multi-Factor Authentication)の略で、二要素以上の認証を必要とする認証形式のことです。第一要素はユーザー名とパスワード、第二要素以降は自分で選ぶ認証方法です。
2FAとMFAが異なる点は、MFAは2FAの総称として使えますが、「2FAはMFAの総称である」というのは正しくないということです。つまり、2FAはすべてMFAですが、MFAはすべて2FAではないということです。
MFAと2FAの違いを理解する上で以下の4つの認証の違いについて知る必要があります。
- あなたの知っているもの: パスワード、暗証番号、セキュリティ質問など
- あなたの持っているもの:物理的なトークン、またはワンタイムパスワード(OTP)やタイムベースワンタイムパスワード(TOTP)のようなのようなデジタルトークン
- あなた個人: 顔認証のような生体認証
- あなたがいる場所: 特定の地域内にいるユーザーのみがアクセス可能なアプリやサービス
もう一つのMFAと2FAの異なる点としては、MFAは最低でも上記にある二つの異なる認証を必要とするのに対して、2FAは同じ種類の認証を第二要素として選択することができます。
例えば、2FAの場合、ユーザー名とパスワード、そして暗証番号を他の要素として選択することが可能です。
MFAは2FAより安全ですか?
基本的には、ユーザー名とパスワードとは別にさらにいくつもの認証方式を使用するMFAの方が2FAより安全性が高いです。4種類の認証方式のうち、MFAはそれぞれ異なるタイプの認証方式を使用することが求められます。
例えば、あるアプリケーションがパスワードと暗証番号の両方を入力する必要がある場合、これらの要素は「あなたが知っていること」のカテゴリーに該当し、同じカテゴリー内の要素なのでMFAとして認定されません。しかし、パスワードと暗証番号の入力と顔のスキャンが必要なアプリケーションであれば、MFAとして認定されます。
2FAは追加認証なしよりは良い
MFAは2FAよりも安全性が高いとしましたが、全てのアプリやシステムがMFAを有効化できる環境にあるわけではありません。代わりにほとんどが2FAの実装が可能なので、可能である場合必ず有効化すべきです。
2FAとMFAの重要性
2FAもしくは MFAの有効化がなぜ重要なのか、それにはたくさんの理由があります。
セキュリティレイヤーを追加する
ユーザー名とパスワード以外の認証なしでは、パスワードを手に入れたものなら誰でもあなたのアカウントに侵入することができます。もしあなたがアカウントを持っている会社が情報漏洩の被害に遭って、ユーザーのクレデンシャルがその漏洩被害の一部だったとしたら、あなたのアカウント上の情報全てが危険に晒されることとなります。
サイバー犯罪者はあなたのフルネーム、メールアドレス、電話番号、アカウント番号そしてクレジットっカード番号までも手に入れられるようになります。これらの情報をもとにサイバー犯罪者はあなたの全ての個人情報を盗むことやフィッシング攻撃の的にすることを容易にすることでしょう。
アカウントで2FAやMFAを有効にするだけで、情報漏洩の波及効果を回避することができます。
パスワードが漏洩しても、あなたを守る
あなたがもしパスワードを再利用したり複数のアカウントで使い回しているのであれば、一つのパスワードの漏洩で複数のアカウントの漏洩につながります。
サイバー攻撃者から身を守るために、アカウントにはユニークで強力なパスワードの作成を推奨されています。強力なパスワードに加えて、2FAまたはMFAの有効化も推奨されています。仮にあなたのパスワードが漏洩しても、2FAまたはMFAの有効化をしていれば、それらの追加の認証がサイバー攻撃者のアカウントへ侵入を防ぐでしょう。
最善な2FAとMFAの認証方式
以下は私たちが推奨する認証方式の例です。
セキュリティートークン
セキュリティトークンとは、セキュリティキーとも呼ばれ、物理的な形態の認証の一つです。この形態の認証は。「あなたの持っているもの」のかでゴリーに分類されます。 USB型のYubiKeyは、セキュリティトークンの一例です。キーを挿入またはタップすると、システム、アプリケーション、アカウントにアクセスする前に、ユーザーの身元を認証します。
生体認証
生体認証とは、バイオメトリクスとも呼ばれる身体的特徴によって、自分が誰であるかを認証する形式です。生体認証には、指紋、虹彩スキャン、顔認識などの形式があります。この種の認証は、「あなた個人」というカテゴリーに分類されます。今日、最も一般的に知られ、使用されている生体認証は、顔認証です。
認証機能付きアプリ
認証機能付きアプリは、スマートフォンにダウンロードするアプリです。例で例えると、Google Authenticatorなどのアプリが有名です。
このアプリは、常に新しいTOTPを生成しています。アカウントにリンクされている場合、アプリにアクセスしてコードが何であるかを確認する必要があるため、本人認証が可能です。一定時間(通常は30秒)が経過すると、コードは失効し、新しいコードに変わります。このタイプの認証は、「あなたが持っているもの」というカテゴリーに該当します
テキストコードが認証方法として最適でない理由
多くの人が2FAと聞くとTOTPを思い浮かべます。これはアカウントにログインするときの本人確認の際、ユーザーが受け取る一時的なパスコードです。ほとんどの人がTOTPコードをメールもしくはテキストで受け取るように設定していますが、セキュリティのプロはこのような2FA方式の使用を推奨していません。なぜなら、このタイプの2FAはサイバー攻撃者にとって最も破りやすい2FA方式だからです。
多くの人がテキストやメールの認証コードを使うことを選ぶ理由は、便利だからです。しかし、時には便利さがセキュリティリスクをもたらすこともあります。2FAを利用する際に、より便利で時間の節約にもなる認証方法をお望みなら、パスワードマネージャーが役立ちます。
まとめ:パスワードマネージャーで2FAやMFAも安全に簡単に管理
優れたパスワードマネージャーは、二要素認証コードの統合機能を提供することで、ユーザーがどこにいても簡単にコードを取得できます。これにより、安全でないテキストメッセージやメールを介してコードを受け取る必要がなくなり、携帯電話を使って認証アプリにアクセスする手間も省けます。さらに、ボルト内のデータを他者と共有する場合、共有相手も二要素認証コードを容易に確認できるため、プロセスがよりスムーズになります。
2FAやMFAを用いてそれぞれアカウントを管理するのにもパスワードマネージャーは便利で安全に簡単に管理ができます。
現在、Keeperパスワードマネージャーは無料30日間トライアル体験を開催しているので、この機会に試してみてはいかがでしょうか。