二要素認証の歴史と未来

2 要素認証は、ここ数年でオンライン セキュリティのバズワードのようなものになりました。 私たちのほとんどは、何らかのサービスにログインすると、アカウントにこの形式の保護を実装するよう促すメッセージが表示されます。

しかし、2 要素認証はハッカーの侵入を阻止できる特効薬ではありません。 これは防御策の 1 つとして有効な対策ですが、最終的には、オンラインで直面する最大の脅威に関する実践的な知識に代わるものではありません。

機会があればいつでも 2 要素認証を有効にしてください。ただし、何が防御でき、何が防御できないのかを理解していない場合は、その保護に依存するという間違いを犯さないでください。 2016 年に証明されたように、データを安全に保つことは複雑であり、過信すると攻撃にさらされる可能性があります。

あなたはあなたが言うとおりの人ですか？

2 要素認証の核心は、資格情報を確認することです。 これは、2 つの異なる種類の証拠を検証することで、その人が本人であることを確認する方法です。 この種のシステムは何年も前から存在しています。

チップと暗証番号を使用したクレジット カード支払いは、おそらく最も一般的な例です。 ユーザーが物理的なカードを所有しており、PIN を知っていることに依存しています。 泥棒はカードを盗む可能性がありますが、 そして PIN を覚えても、両方を管理するのは簡単ではありません。

少し前まで、人々が定期的に身元を認証しなければならない唯一の理由が金融取引だった時代がありました。 今日、インターネットを使用する人は誰でも、さまざまな理由から誰でもアクセスできるようにしたくないさまざまなアカウントを持っています。

金融業界は、配布する必要があるハードウェアが銀行カードだけだったため、2 要素認証を非常に簡単に実装することができました。 同様のシステムを日常の Web サイトに配布することはほぼ不可能であるため、2 要素は他の手段で有効になります。 そして、それらの方法には独自の欠陥があります。

ユーザー体験

「生活の便利なものが突然使いづらくなり、本当にうんざりしています」と、2005 年に投稿されたコメントにはこう書かれています。 スラッシュドット オンライン バンキングに関連した 2 要素認証の差し迫った増加に関する記事。 「硬いトークンを持ち歩くのは本当に嫌です。」

「政治家たちは、これが現実世界にどのような影響を与えるのか全く分かっていない」と2番目の意見で同意し、ユーザーが追加のハードウェアの購入を強いられる脅威を嘆いた。 別のコメント投稿者は、「コンピューターセキュリティの基本を理解していないのであれば、インターネットバンキングを許可すべきではない」と付け加えた。

今日、このような苦情は明らかに愚かに思えますが、2005 年当時、ユーザーは、何らかの形式の 2 要素トークンを持ち歩くコストと煩わしさについてより考慮していました。 銀行業務よりも重要でないものが保護されている場合、ユーザーの反応はさらに否定的になる可能性があります。 2012年、ゲーム開発会社Blizzard Entertainmentに対して集団訴訟が起こされた。 からの報告によると、ユーザーの Battle.net アカウントを保護するために設計された認証周辺機器を導入しました。 BBC.

この種の 2 要素認証を実装する取り組みは、Security Dynamics Technologies が導入した 1980 年代から行われてきました。 「個人を確実に識別する方法および装置」の特許を取得しました。 2000 年代までに、インフラストラクチャと製造能力は 金融機関からビデオゲームパブリッシャーに至るまでの組織が独自の 2 要素手段を実施できるようにするための制度 認証。

残念ながら、ユーザーは協力しないことに決めました。 認証の 2 番目の要素が、一意のコードを送信する LCD 画面のように単純であっても、指紋スキャナーのように複雑であっても、 さらに物理ハードウェアが 1 つあること、つまり固有のログインが必要なさまざまなサービスごとに 1 つある可能性があることは、ユーザーにとって魅力的ではありませんでした。 大衆。

この問題のせいで二要素が普及しなかった別の歴史を想像することも可能です。 私たちにとって幸運なことに、Apple が iPhone を導入し、Google が iPhone を導入しました。 アンドロイド. スマートフォンにより、二要素認証が可能なデバイスが世界中で数十億人の手に渡され、2005 年にユーザーが不満を抱いていた利便性の問題が解決されました。

スマホは便利だけどリスクもある

スマートフォンの普及により、サイトやサービスは 2 要素認証プロセスの煩わしさを解消できるようになりました。 「携帯電話を使用するものは、非常に使いやすく、影響が非常に少ない傾向にあります」とセキュリティ専門家でハーバード大学フェローのブルース・シュナイアー氏は今月初めにデジタル・トレンドに語った。 「それはあなたがすでに持っているものだからです。 持ち歩かなければならないような新しいものではありません。」

特定のシナリオでは、このアプローチは明確な利点をもたらす可能性があります。 たとえば、新しいコンピュータからサービスにログインする場合、標準のパスワードだけでなく、信頼できるデバイスに送信されるコードの入力を求められる場合があります。 これは、2 要素認証の使用方法の良い例です。 他の誰かがあなたのパスワードを盗み、そのシステムから関連付けられたアカウントにログインしようとした可能性がありますが、すでにあなたの携帯電話を盗んでいない限り、アクセスすることはできません。

ただし、この種の保護では対処できない脅威もあります。 2005 年にシュナイアー氏は、「二要素認証は私たちの救世主ではない」と著​​書で述べています。 ブログ投稿 その弱点を掘り下げます。

彼は続けて、中間者攻撃がどのようにしてユーザーをだまして、自分が攻撃者であると思わせることができるのかについて説明しました。 正規の Web サイトで、偽のログインに対して両方の認証形式を提供するよう説得します。 画面。 同氏はまた、トロイの木馬が 2 つの認証形式を使用して実行された正規のログインに便乗するために使用される可能性があるとも指摘しています。 単一のデバイスにセキュリティを集中化するという問題もあります。 ほとんどの人は、複数の Web サイトでスマートフォン対応の 2 要素を使用しています。 その携帯電話が盗まれて危険にさらされた場合、それらすべてのサイトが危険にさらされます。

知識は力である

「アカウントにログインするときは、2 要素が最適です」とシュナイアー氏は言います。 「私の大学、ハーバード大学もそれを使用しており、私の会社もそれを使用しています。 多くの人が導入しており、とても便利です。 しかし、私が当時書いていた問題は、それがすべてを解決する万能薬として見なされていたことです。 もちろん、そうではないことは分かっています。」

悪意のあるハッカーは金銭的利益を常に動機として、他人のアカウントにアクセスするための新しいテクニックを開発します。 他人の資格情報を所有することに利点がある限り、ハッキングは継続的に進化するでしょう。

「さまざまな脅威が存在し、さまざまなセキュリティ メカニズムが存在します」とシュナイアー氏は説明しました。 「脅威は 1 つだけではなく、メカニズムも 1 つだけではありません。多くの脅威とメカニズムが存在します。」

最善の防御は、新しく改善された対策を継続的に続けることです。 アカウントを安全に保つために使用する方法を変更および更新し続けると、許可なくアクセスしようとする人にとって事態が困難になります。

残念ながら、主導権は攻撃者にあります。 2 要素認証が大衆に受け入れられるまでには何年もかかりました。 新しい形式の保護が利用可能になると、私たちユーザーはそれらを積極的に活用する必要があります。 そして、私たちは 2005 年頃の Slashdot フォーラムに戻りました。 私たちは再び、セキュリティを心配する代わりに、利便性について不平を言うユーザーになります。

大規模なハッキングがいかに日常的に行われているかを無視することは困難であり、この形態の犯罪行為がなくなる気配はありません。 あらゆる種類の攻撃を 100% ブロックできる防御手段はありません。 犯罪者は常に、どんな小さな弱点でも付け込む方法を見つけます。 簡単なことではありませんが、オンラインの安全を保つ最善の方法は、脅威を認識し、それらの脅威から守るために何ができるかを認識することです。

オンライン セキュリティは、保険の支払いや歯医者に行くようなものです。 実際にそうなるまでは、それほど重要ではないようです。 さまざまなサイトやサービスが提供する保護形式にオプトインするだけでは十分ではありません。 これらの保護がどのような種類の攻撃から私たちを守ってくれるか、そして何がそうではないのかを知ることが、自分自身のセキュリティを管理する唯一の方法です。

編集者のおすすめ

• TwitterのSMS二要素認証に問題が発生しています。 メソッドを切り替える方法は次のとおりです
• 二要素認証が完璧ではないと言われる理由はここにあります
• ハッカーがGmailの2要素認証をバイパスする方法を発見