2段階認証
通常の「ログインID」 + 「ログインパスワード」に加えて、「ワンタイムパスワード」を利用する、2段階認証の概要
ワンタイムパスワードは、携帯電話等の個人を紐付けできる端末が必要になる(ネットワーク接続は必須でない)
ワンタイムパスワードの受け取り(生成)方法
現在の仕組みに、追加して利用出来るので、ネットバンクなんかは、真っ先に利用すべきじゃないかと思う
ワンタイムパスワードは、携帯電話等の個人を紐付けできる端末が必要になる(ネットワーク接続は必須でない)
ワンタイムパスワードの受け取り(生成)方法
- 携帯電話のSMSやキャリアメール
- 電話の音声
- スマートフォン等の生成アプリ
- トークン生成機 →こういうの
- バックアップコード(上記不能のために、事前に受け取り)
ネットワークが必須でないというのは、スマートフォンアプリは最初にサービス側から「シード」を受け取っておけば、このシードと時刻から、ワンタイムパスワードを生成出来るためである。トークン生成機も同じ仕組み。SMSや音声は、ログインの都度(第1段階認証を通過すると)サービス側から送信される
例外のログイン
ワンタイムパスワードが利用できないサードパーティ製のアプリや、汎用インターフェース(Gmail へ POP3 や IMAP でアクセスするとか) のために、アプリケーション固有パスワードを生成する仕組みが用意される。これはこれで、セキュリティーホールになり得るが、ユーザーがパスワードを指定できないい事が多いため、使い回しは起こりにくい
2段階認証が不便なパターン
ブラウザの場合、認証済み端末としての情報を残すのに Cookie くらいしか手段が無いため、Cookieが削除される環境では、その都度ワンタイムパスワードが必要になる
バックアップコードの扱い
ワンタイムパスの生成・受け取り手段が無くなった場合のバックアップコードは必須である(Evernote だったかは、必ず表示される)が、それをどこへ保存・印刷しておくかが悩みどころ
バックアップコードの扱い
ワンタイムパスの生成・受け取り手段が無くなった場合のバックアップコードは必須である(Evernote だったかは、必ず表示される)が、それをどこへ保存・印刷しておくかが悩みどころ
現在の仕組みに、追加して利用出来るので、ネットバンクなんかは、真っ先に利用すべきじゃないかと思う
コメント