2要素認証に該当するものはどれか。
ア 2本の指の指紋で認証する。
イ 虹彩とパスワードで認証する。
ウ 異なる2種類の特殊文字を混ぜたパスワードで認証する。
エ 異なる2つのパスワードで認証する。
2要素認証に関する理解を問う問題。過去には当ブログでセキュマネの似たような問題を解説しましたが、求められる知識レベルは同じくらい。
今から2要素認証とはなんぞや、ということについて解説しますが、上記の記事と同じ内容(コピペ)なので、そちらをすでに見た方は飛ばしてもらって結構です。目次から「アの解説」以降に飛んじゃいましょう。似たような問題なので解説分にもコピペ多め。ごめんなさいね。
セキュマネと基本情報とで試験のレベルは違いますが、一緒に解いておくと知識の定着に役立つと思います。
2要素認証とは?
利用者認証はその認証方法によって以下の三つに分類することができます。
- 知識認証(知識による認証)
- 所有物認証(所有物による認証)
- 生体認証(身体的特徴による認証)
認証技術についての詳しいことを知りたい方は、こちらの問題の解説も参照するとよいかと思います。
認証技術はひとつの種類だけを使うのではなく、複数の種類の認証を組み合わせることで、セキュリティを強化することができます。複数の種類の認証を組み合わせることを多要素人情認証といいます。そのうち、二つの種類の認証を組み合わせることを2要素認証と言います。
例えば知識認証の場合、知識が漏れてしまえばだれでも認証を突破できますが、所有者認証と組み合わせることで、知識が漏れただけでは認証を不正に突破することができなくなります。この場合、認証に用いる知識と物の両方が流出しなければ安全なのです。1つだけの要素が流出するよりも、複数の要素が流出する可能性のほうが低いのでより安全というわけです。
また、同じ種類の認証を2つ組み合わせるよりも、別々の種類に分類される認証を組み合わせたほうがより安全です。たとえば「知識認証×知識認証」よりも「知識認証×所有物認証」のほうが好ましいです。
似たような言葉に2段階認証というものがあります。こちらは一回パスワードで認証して、次にメールに送られてきたPINコードで認証、といったように2段階に分けて認証を行う事をいいます。3段階以上も含めて多段階認証という場合もあります。
2段階認証の場合、認証の種類(要素)が異なるとは限りません。先ほどのパスワードとPINコードの例では両方、知識認証ですね。段階を踏んだほうが一発で認証するよりも不正認証する人にとって難しくなります。
2段階認証は1段階目と2段階目で認証の種類が異なる場合、2要素認証にもなります。また、2要素認証は2つの認証を段階に分けて行えば2段階認証でもあります。つまり、二つの似たような言葉は独立したものではなく、重複する場合もあるということです。
2要素にするとセキュリティの強度は上がりますが、トレードオフとしシステムが煩雑になり、コストや認証する側の面倒くささが上昇しがちです。
アの解説
ア 2本の指の指紋で認証する。
2本の指というのは、別々の指で2回指紋認証を行うということです。これは「生体認証×生体認証」の単一要素による認証なので、2要素認証ではないですね。したがって、アは×。
1本の指の指紋を盗める状況なら、2本目の指の指紋を盗むことも容易だと思われるので、認証の強度を上昇させるうえでどれだけ効果があるのか微妙なところです。
イの解説
イ 虹彩とパスワードで認証する。
虹彩は身体的特徴なので虹彩認証は生体認証に分類されます。またパスワードは認証者の頭の中に格納されている知識なのでパスワード認証は知識認証に分類されます。したがってこれは2要素認証なので、イが正解です。
虹彩認証は黒目の内側にある虹彩と呼ばれる部分の形を元に認証を行う方法です。虹彩は指紋と違って体の内側のほうにあるので損傷しにくいメリットがあります。
虹彩認証だけだとバイオハザード4の村長のように目を盗まれれば認証を突破できますが、知識認証であるパスワードと組み合わせることで不正に突破する難易度を上昇させることが可能です。
過去には指紋認証を突破するために指を盗まれたこともあり、目玉を盗まれる可能性もなくはないです。生体情報も盗めないわけではないので、2要素認証にしておいたほうがより安全というわけです。
ウの解説
ウ 異なる2種類の特殊文字を混ぜたパスワードで認証する。
「異なる2種類の特殊文字を混ぜたパスワード」というのは、ひとつのパスワードです。つまりこれは普通のパスワード認証なので、2要素認証ではありません。したがってウは×。
特殊文字を混ぜ込むことで、パスワードの強度を上昇させることができます。単純なパスワードは面倒くさがり屋のユーザがよく使っていて、ハッカー側も「とりあえずよく使われる単純なやつから試してみっか」という具合に狙ってくるので不正に突破されやすいです。よく使われるものからブルートフォース攻撃(総当たり攻撃)する攻撃手法を「辞書攻撃」といいます。なので、複雑なパスワードを要求することはセキュリティ強度をあげるために有効です。
- ああああああああ
- password
- abcde
- 123456789
- qwertyuiop
ブルートフォース攻撃や辞書攻撃についてはこちらの記事も参考になるかもしれません
エの解説
エ 異なる2つのパスワードで認証する
知識認証×知識認証です。したがってエは×。
知識認証×知識認証だと、ユーザ側が忘れるリスクが高くなります。また、人によっては癖が出やすいところもあり、認証を突破するのが2要素の場合と比べ楽になる場合もあります。知識要素の管理がザルな人の場合、まとめて流出することも多いです。