読者です 読者をやめる 読者になる 読者になる

NJS Developers

日本情報システム株式会社の開発ブログ

いまさら聞けない多要素認証(3)知識情報について

みなさんこんにちは。日本情報システム株式会社 ICTソリューション部の進藤です。
今回は、認証の3要素のひとつ、知識情報についてご紹介します。

知識情報の概要

知識情報とは、本人しか知り得ない情報のことをいいます。パスワード認証など、最も普及・利用されている基本的な認証要素です。
本人が記憶している情報を認証側にも置いて一致させるだけといったシンプルな仕組みの為、汎用性が高くコストも低いのが特徴です。開発者目線でも、ほとんどのプログラマが実装できるほどシンプルなものだと思っています。

知識情報を利用した認証の例

主な知識情報には以下のものがあります。

  • パスワード・・・キーワードや、アルファベット・数字の組み合わせ
  • マトリクス・・・使い捨てパスワードのひとつで、表にある文字や数値の位置を利用する
  • ナレッジベース・・・秘密の質問と答え

メリット

導入しやすくコストが安いので、 比較的簡単にさまざまなシステムで利用できます。
ひとつのパスワードで不安という場合にはパスワードと秘密の質問、というように多段階認証方式をとることで、セキュリティレベルを上げることも可能です。

デメリット

他の認証要素よりも簡単に導入できる為、セキュリティに問題が出てきてしまいます。

覚えられない

セキュリティを高くするために、定期的にパスワードを変更したり、長いパスワードを設定したりします。
ところが、パスワード自体を覚えられず、結果メモ書きをしてソーシャルエンジニアリングの被害に遭ってしまう事例があります。

※ソーシャル・エンジニアリング
ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。ソーシャル・ワークとも呼称される。
フリー百科事典 ウィキペディアより

漏えいしやすい

パスワード認証におけるパスワードには、全ての英数字の組み合わせを試す「総当たり攻撃」 や、偽サイトに誘導してIDとパスワードの入力を求める「フィッシング」などさまざまな攻撃手法もあることから、セキュリティ的にはとても問題があるといえます。開発者側は、パスワードを暗号化や、ワンタイムパスワード認証、秘密の質問といった多段階認証を活用することでセキュリティを高めることは可能ですが、それでもユーザー側の手間も考えると知識情報だけで認証を行うには限界があるでしょう。

パスワードの後にあれやこれや聞かれる図

セキュリティのためとはいえ、質問攻めも面倒です。

漏えい期間が長い

パスワードが漏えいしたことを本人が気づくまで、パスワードは不正に利用され続けます。
また、パスワードが漏えいしたことを知らせる機能が少ないというのも問題点です。

まとめ

いかがでしたか?簡単ですが、知識情報のご紹介をしました。
シンプルなゆえセキュリティ面にも不安な点が多いですが、汎用性、コスト面であらゆるシステムにも対応できるので、用途がなくなることはなさそうな気がします。
次回は所持情報についてご紹介する予定です。

PAGE TOP