二段階認証と二要素認証の違い

 

二段階認証?二要素認証?

似たような言葉ですが、技術的には異なります。

どちらも以下の手順をとることは同じです。
1.IDとパスワードを入力して認証
2.その後、IDとパスワード以外のものを入力して認証

もちろん、ID・パスワードのみを使った認証よりは強固ですが、大事なのは認証要素の数です。

認証要素とは以下の3つで構成されます。
・知識要素
IDやパスワード、秘密の質問などのユーザーが知っている情報
・所有要素
スマートフォンやUSBドングルなどの所有デバイスに対して送られた情報
・生体要素
指紋や声紋、顔などの自分の体がもっている情報

二段階認証は、要素関係なく2回の認証を行うものであり、ID・パスワードを入力した後、秘密の質問を入力するものも含まれます。
二要素認証は、上記の認証要素を2つ(多要素認証の場合は2つ以上)使った認証の方法となります。

二段階認証であっても要素が一つである場合、セキュリティは担保されず、乗っ取りなどのリスクは軽減されません。

Yahoo!JAPANでも2021年6月から秘密の質問と答えを廃止し、SMS認証や生態認証などを含めた二要素認証に切り替わると発表しました。
https://id.yahoo.co.jp/information/

皆さんもお使いのサービスや自社のセキュリティを見直す際、二段階認証なのか二要素認証なのかをチェックしてみてください。