Top | このサイトについて | RSS

Top/多要素認証

多要素認証のバックアップ(No.4)

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
多要素認証へ行く。
- 1 (2021-11-14 (日) 12:03:31)
- 2 (2021-12-17 (金) 13:36:48)
- 3 (2022-02-18 (金) 09:52:45)
- 4 (2022-09-22 (木) 21:03:55)
- 5 (2022-11-21 (月) 16:58:21)
- 6 (2022-12-06 (火) 20:03:28)
- 7 (2023-03-22 (水) 22:40:32)

多要素認証とは †

名称 †

MFA（Multi-Factor Authentication）

概要 †

認証時に複数の認証要素を使う認証方法。
2つの認証要素を使う場合、「二要素認証」（2FA:2 Factor Authentication）と呼ぶ。
段階的に認証させるケースも、多要素認証に含まれる。

多要素認証の方式 †

段階的認証 †

一般的な利用をするために1段階目の認証をし、個人情報を取り扱うなど重要な利用をするために2段階目の認証をするなど。
2段階で認証する場合、「2段階認証」と呼ぶ。
認証要素は1種類のみでも、2種類以上を使うものでもよい。

いろいろ †

2ファクタ認証
- Apple -iOS10.3から採用されたApple IDの認証。
- 通常のパスワードと「確認コード」をサインイン時に要求する。
- 確認コードは、あらかじめ登録しておいた信頼できる電話番号へのSMSや音声メッセージによって通知される。

2段階認証
- 2-Step Verification
- Google -Googleアカウントの認証

ログイン認証
- Facebookの認証

認証アプリ
- 「確認コード」はサービス提供者から受信するのではなく、認証アプリが生成する。

プロンプト認証（）
- Googleプロンプト
  https://support.google.com/accounts/answer/7026266?co=GENIE.Platform%3DAndroid&hl=ja
- ワンタイムパスワードのような番号入力ではなく、デバイスにプッシュ通知で表示されるプロンプトのボタンをタップする。
- 信頼できる端末として設定することでプロンプトのスキップも可能にできたりする。
- 第三者が一段階目の認証を成功した場合も通知されるので、間違えて許可しないよう注意が必要。

認証要素 †

認証の3要素
- 「認証」参照

多要素認証では防ぐことができない攻撃 †

MFA Fatigue Attack †

多要素認証疲労攻撃
以下の認証方式を採用しているユーザに対する攻撃
- 一段階目がパスワード認証方式
- 二段階目がプッシュ通知に対して許可する方式
上記の認証方式を採用しているユーザの漏洩したパスワードを使って繰り返しパスワード認証を行い、繰り返しプッシュ通知を送信することで、相手が根負けして通知を許可することを狙った攻撃手法

関連サイト †

Guidance for Multi-Factor Authentication(pci Security Standards Council)
https://www.pcisecuritystandards.org/pdfs/Multi-Factor-Authentication-Guidance-v1.pdf

電子的認証に関するガイドライン(NIST)
- NIST SP800-63-3

「二段階認証…？」と言わないためのMFA入門 --- あるいはIDシステム地獄への案内(ブログなんだよもん)
http://koduki.hatenablog.com/entry/2019/07/06/154443

ハッカーのKevin Mitnickがフィッシングで二要素認証をバイパスする方法を教える (TechCrunch)
https://jp.techcrunch.com/2018/05/11/2018-05-10-hacker-kevin-mitnick-shows-how-to-bypass-2fa/

twofactorauth.org
https://twofactorauth.org/

関連用語 †

認証
パスワード認証
アウトオブバンド認証 -OOB認証
ワンタイムパスワード（OTP）
AiTM - Adversary-in-The-Middle
Captcha
Modlishka