多要素認証 のバックアップ(No.6)
多要素認証とは †
名称 †
- MFA(Multi-Factor Authentication)
概要 †
多要素認証の方式 †
- ワンタイムパスワード認証
- デジタル証明書
- インベントリ認証
- FIDO認証 -「FIDO」
段階的認証 †
- 一般的な利用をするために1段階目の認証をし、個人情報を取り扱うなど重要な利用 をするために2段階目の認証をするなど。
- 2段階で認証する場合、「2段階認証」と呼ぶ。
- 認証要素は1種類のみでも、2種類以上を使うものでもよい。
いろいろ †
- 2ファクタ認証
- Apple -iOS10.3から採用されたApple IDの認証。
- 通常のパスワードと「確認コード」をサインイン時に要求する。
- 確認コードは、あらかじめ登録しておいた信頼できる電話番号へのSMSや音声メッセージによって通知される。
- 2段階認証
- 2-Step Verification
- Google -Googleアカウントの認証
- ログイン認証
- Facebookの認証
- 認証アプリ
- 「確認コード」はサービス提供者から受信するのではなく、認証アプリが生成する。
- プロンプト認証()
- Googleプロンプト
https://support.google.com/accounts/answer/7026266?co=GENIE.Platform%3DAndroid&hl=ja - ワンタイムパスワードのような番号入力ではなく、デバイスにプッシュ通知で表示されるプロンプトのボタンをタップする。
- 信頼できる端末として設定することでプロンプトのスキップも可能にできたりする。
- 第三者が一段階目の認証を成功した場合も通知されるので、間違えて許可しないよう注意が必要。
- Googleプロンプト
認証要素 †
- 認証の3要素
- 「認証」参照
多要素認証では防ぐことができない攻撃 †
MFA Fatigue Attack †
- MFA Fatigue攻撃
- 多要素認証疲労攻撃
- 以下の認証方式を採用しているユーザに対する攻撃
- 上記の認証方式を採用しているユーザの漏洩したパスワードを使って繰り返しパスワード認証を行い、繰り返しプッシュ通知を送信することで、相手が根負けして通知を許可することを狙った攻撃手法
2FAリレー攻撃 †
関連サイト †
- Guidance for Multi-Factor Authentication(pci Security Standards Council)
https://www.pcisecuritystandards.org/pdfs/Multi-Factor-Authentication-Guidance-v1.pdf
- 電子的認証に関するガイドライン(NIST)
- 「二段階認証…?」と言わないためのMFA入門 --- あるいはIDシステム地獄への案内(ブログなんだよもん)
http://koduki.hatenablog.com/entry/2019/07/06/154443
- ハッカーのKevin Mitnickがフィッシングで二要素認証をバイパスする方法を教える (TechCrunch)
https://jp.techcrunch.com/2018/05/11/2018-05-10-hacker-kevin-mitnick-shows-how-to-bypass-2fa/
- パスワード管理/MFA管理の戦略(2022.11.27) -Web Scratch~ https://efcl.info/2022/11/27/password-mfa-strategy/
- twofactorauth.org
https://twofactorauth.org/
- 2fa.directory
https://2fa.directory/