さまざまな認証方法を理解する(SMSが最良の選択肢ではない理由も)
テクノロジーが進歩するにつれ、サイバー攻撃も進歩している。ハッカーは、サイバーセキュリティを克服する、より洗練された方法を見つける。データと情報システムを保護するために、組織は認証を使用する。
それは何か
一般に、認証とは、ユーザーの身元を認識するプロセスを指す。アプリケーションの開始時によく見られる。
さまざまな資格が関係する可能性がある。これらは3つに分類できます。
最初のものは知識である。アプリケーションやシステムは、ユーザーが知っている何かを尋ねる。それは暗証番号であったりパスワードであったりする。
つ目のカテゴリーは、所有物またはユーザが持っているものである。これは、認証アプリケーショ ンや SMS ベースのワンタイム・パスコード(OTP)である。
3つ目のタイプは特徴である。これは、顔スキャンや指紋など、ユーザーが誰であるかを確認するものを指す。
さまざまな認証方法
サイバーセキュリティにとって最良の方法は、多要素認証、あるいは二要素認証と呼ばれるものである。しかし、ソーシャルメディア企業のアカウント・セキュリティ・レポートで報告されているように、ツイッターのアクティブ・ユーザーのうち、この方法を利用しているのはわずか2.3%に過ぎない。
二要素認証を利用していると答えた人のうち、79.6%がSMSベースのOTPを利用している。問題は、SMSが最も安全性の低い認証方法の一つであることだ。
すべての多要素認証システムが同じではないことを理解することが重要である。より安全な方法を利用するものもある。これをよりよく理解するためには、二要素認証でよく使用される認証方法のいくつかを知る必要があります。
- SMSベースのワンタイムパスワード:SMSベースの認証は、多要素認証を実現する。しかし、SIMスワップやフィッシングなどの一般的なサイバー脅威や攻撃を防ぐという点では、最も効果が低いと見られている。また、最も便利な方法でもない。
- 認証アプリ:ユーザーは認証アプリをインストールし、継続的に新しいコードを生成して、ユーザーが自分のアカウントに結びついたデバイスを所有していることを証明する。SMSよりはましかもしれないが、認証アプリを使用することは、フィッシングや高度な攻撃によって傍受される危険性がある。
- セキュリティ・キー:物理的な認証デバイスを指す。ユーザーは、Bluetooth、NFC、またはUSBを通じてデバイスに接続する。セキュリティ・キーは、アプリケーションやウェブサイトにアクセスしようとする際に、本人であることを証明する役割を果たす。最大限の保護を確保するためには、FIDO標準に準拠したセキュリティ・キーを持つことが最良の選択肢となる。
- バイオメトリクス:バイオメトリクスとは、認証されたユーザーに固有の特徴を指す。それは顔スキャンであったり、指紋であったりする。FIDO標準に従ったオンデバイス・バイオメトリクスは、利便性を提供するだけでなく、フィッシングに強い技術を備えている。
サイバーセキュリティをさらに向上させるために、組織やサービス・プロバイダーは、よりシンプルで優れた認証オプションを提供しなければならない。そして次のステップは、ユーザーやクライアントに二要素認証を有効にするよう説得することである。