2ファクタ認証と2段階認証の違い。どちらがより安全

初めてのデバイスやブラウザからApple ID（現Apple Account）にログインするとき、確認コードの入力を求められる場合がある。いわゆる2ファクタ認証（二要素認証）だ。

しかし、メディアなどでよく使われるのは「二段階認証」という言葉。二要素と二段階にはどのような違いがあるのだろうか。これが今回の疑問だ。

※この記事は『Mac Fan 2020年11月号』に掲載されたものです。

2ファクタ認証はただの“2段階”ではない。より安全性の高い方式

Appleのさまざまなサービスを利用するとき、2ファクタ認証が行われる。たとえば、WebのiCloud.comにログインすると、iPhoneなどに確認コードが届く。そして、それをブラウザ上で入力する必要がある。

Appleの2ファクタ認証。iPhoneでログインをしようとすると、ほかのデバイスに位置情報付きのダイアログが現れる。許可すると確認コードが表示され、それをiPhone側に入力すると認証が完了。一度使ったデバイス、ブラウザなどは「信頼」される。以降、面倒な認証は不要だ。写真●Apple

Apple IDのパスワードと確認コード。2つの要素で認証するため、「2ファクタ認証」「2要素認証」などと呼ばれる。

一方、二段階認証という言葉もある。さらにややこしいことに、Googleは「2段階認証プロセス」と呼んでいるようだ。重箱の隅を突くような話だが、Googleの「2段階認証」という言葉使いは誤解を招くことがあり、好ましくないと思う。なぜなら、なんでもいいから2回認証すれば2段階認証と呼べてしまうからだ。

2ファクタ認証とは、「記憶」「所持」「生体」の3つの要素のうち、2つを組み合わせて認証をする方式である。一方の2段階認証は、どの要素でもかまわないのでとにかく2回認証を行う方式だ。もちろん、2ファクタ認証のほうが安全性が高い。

2ファクタ認証（二要素認証）は、上図の2つを組み合わせて認証する方式だ。「記憶」「所持」「生体」の3要素がある。第2パスワード、秘密の質問などは同じ記憶要素を利用するため、2ファクタ認証ではない。

Googleは「2段階認証プロセス」と呼んでいる。誤解を招く表現だ。しかし、「二要素」「2ファクタ」という用語がまだ一般的ではないので、それをわかったうえで「2段階認証」と呼んでいるのだろう。内容は2ファクタ認証になっている。

2ファクタ認証は身近なところに。キャッシュカードも「所持」と「記憶」を組み合わせている

2ファクタ認証は、私たちはかなり昔から利用している。たとえば、銀行のキャッシュカードは2ファクタ認証だ。キャッシュカードそのものを持っているという「所持」。そして認証番号を覚えているという「記憶」。この2要素を組み合わせることで、現金が引き出せる。

たとえば暗証番号を忘れてしまうからと、キャッシュカードにマジックで暗証番号を書いておいたり、メモを貼り付けておいたりするとどうなるだろうか。暗証番号という記憶要素は所持要素になり、安全性が著しく低下する。

そのキャッシュカードを紛失したら、他人が容易に現金を引き出せてしまう。

“2段階”は足し算。一方の“２ファクタ”は掛け算。安全性を高める認証の考え方

では、預金通帳と印鑑を持って、銀行の窓口で預金を引き出すのはどうか。これは2ファクタ認証だろうか。

この場合、通帳も印鑑も「所持」要素であり、安全性が高いとは決して言えない。しかも、多くの人が通帳と印鑑を大事に同じ袋に入れている。そして、タンスなどにしまっているケースが多い。空き巣に盗まれると、簡単にお金を引き出せてしまう。

そこで多くの銀行では、引出し金額が一定額以上の場合、顔写真つきの身分証明証の提示を求めるようになっている。つまり人力で顔認証をしており、「所持」と「生体」の2要素が揃う。

つまり、2段階認証は足し算でしか安全性が上がらない。しかし、２ファクタ認証は異なる要素を組み合わせるため、掛け算で安全性が向上するというわけだ。

2要素を理解していないサービスも。“第2のパスワード”は、ユーザも企業もコストが大きい

この単純な理屈を理解しているとは思えないサービスが、いまだに存在している。たとえば、とあるチケット購入サービスでは、「第2パスワード」を設定させるようだ。

通常、ログインするときは第1パスワードで認証し、チケットを購入するときに第2パスワードを入力させる。これは典型的な2段階認証であり、教科書に載せるべき悪い例の見本だ。

第2パスワードを使う機会は多くないので、利用者はしばしば忘れてしまう。そして、「パスワードを忘れた場合は」のリンクボタンを頻繁に利用することになる。そのうち、正しいパスワードが何かわからなくなってしまうだろう。

するとカスタマーセンターへの問い合わせが増える。結果、対応するコストが膨らむかもしれない。

セキュリティ上のリスクが高い。パスワードリセットを“当たり前”にしたくはない

またパスワードリセットは、セキュリティ上、決して褒められるやり方ではない。多くの場合、登録してあるメールアドレスにリセット用のリンク付きのメールを送られる。そこから新しいパスワードを設定するわけだが、そのリンクを他人に入手されたら？パスワードが勝手に変更される可能性がある。

たとえば、iPhoneやMacBookをロック解除した状態で離席をした場合、誰でも操作できる。そこでパスワードリセットを行い、パスワードを変えてしまえば、あとはゆっくり他人のサービスに侵入できる。

あるいはフィッシング詐欺などに遭い、メールアドレスのパスワードが知られたとする。そうなると、そのアドレス宛に届くメールから利用しているサービスがバレ、パスワードのリセットや悪用は容易だ。

「秘密の質問」も“2段階”に過ぎない。しかも、「覚えていられない」という懸念も

かつては多用されていたが、今ではすっかり利用されなくなっている「秘密の質問」も同じ。

「初めて飼った犬の名前は？」「あなたの母親の旧姓は？」などの質問を選んで、回答を登録しておくというものだ。パスワードも秘密の質問も記憶要素であり、二段階認証にはなっているが、2ファクタ認証にはならない。

そのため安全性は高くない。さらに、多くの場合めったに利用しないので、いざ必要なときには解答を忘れている。仮に解答を覚えていても、漢字なのか、カタカナなのか、ひらがななのか、まで覚えているだろうか。

結局ユーザが困ることのほうが多く、不正アクセス事件もしばしば起きた。

ある例では、生年月日とペットの名前でパスワードをリセットできるサービスがあり、とある中学生が同級生に不正アクセスされたという。近しい関係であれば、その情報を得るのは容易だったのだ。

Apple Payのスムースな体験に見る、２ファクタ認証の“ステルス化”

2ファクタ認証は本人確認の方法としては優れている。しかし、唯一の欠点は「面倒くさい」ということだ。Macからログインしようとして、iPhoneに表示された確認コードを見るのはわずらわしい、と思った経験がある人は多いだろう。

そこでAppleは、2ファクタ認証のステルス化とでも呼ぶべき仕組みを構築中だ。

そのもっともいい例がApple Payでの支払いだ。「ウォレット」アプリに追加したカードは、すべてApple　IDに紐づいている。iPhoneをリセットしたときは、Apple IDで認証を済ませなければウォレットも利用できない。

Apple Payの決済では、iPhoneを顔に向けて電源ボタンを二度押ししてWalletを開くと、自動的にFaceID認証が行われ、すぐにリーダにかざすことができるようになる。認証操作をユーザに意識させない仕組み作りが始まっている。

電源ボタンを2度押しすると、スリープ時であってもウォレットが起動。顔認証が自動で行われる。これでリーダにかざすと、決済できるようになる。Apple ID（記憶）とFace ID（生体）という2要素で認証を行っているが、ユーザは認証のステップを意識する必要がほとんどなくなっている。

「確認コード」の統一化へ。パスワードだけでは身を守れない今、２ファクタ認証の重要性は高まっている

また、AppleはSMSで送信される確認コードのフォーマットを統一し、自動で入力される仕組みの構築を提案している。

すでにGoogleが賛同しているので、これとiCloudキーチェーンのパスワード自動入力を組み合わせると、ユーザは認証操作をまったく意識することなく、実際には強力な2ファクタ認証が行われるという世界になる。

さらに、悪意のあるハッキングに対しても2ファクタ認証は強い。悪い人間が、あなたのアカウントにログインを試みた場合、あなたのiPhoneなどのデバイスに突然確認コードが表示されることになる。何らかの情報が漏れている可能性があるので、サービスを停止する、パスワードを変更するなどの処置をすぐに取ることが可能だ。

多くの決済を伴うサービスのアプリでは、パスワードのほかにFace IDを組み合わせ、2ファクタ認証に近い状態を実現する例が増えてきている。

もはやパスワードだけでは、自分の資産や個人情報を守ることは難しい。2ファクタ認証をしていないサービスは利用しない。そのくらいの感覚が必要になってきている。