多要素認証(MFA)

「知っているもの」と「持っているもの」、2つの鍵がそろって初めて開く錠の仕組み

この記事の要約

多要素認証(MFA)は、パスワードに『手元のスマホ』という種類のちがう鍵を重ねる仕組みです。片方が破られても、もう片方で侵入を食い止めます。

  • 第 1 の鍵は知っているもの、第 2 の鍵は持っているもの
  • パスワードが漏れても、2 つめの鍵で止まる
  • 大事なサービスほど MFA を有効にしておく

なぜパスワード1つでは不安なのか

『あなたしか知らないはず』のパスワードは、別のサービスからの漏えいや推測で他人の手に渡ることがあります。鍵が1本だけの家と同じです。だから2本目には、盗み方がまったく別物になる『種類のちがう鍵』を足します。

二段階の関所 ― 2つの鍵で本人を確かめる

はいいいえはいいいえ
第一関門知っているもの
追加確認持っているもの
入場
ログインする人本人 / なりすまし
認証システム二段階の関所
通さない止める結果
ログイン
① パスワードを入力知っているもの
パスワードを確認第1段階:知っているもの
② ワンタイムコードを入力持っているもの
アクセス拒否パスワードが違う
コードを確認第2段階:持っているもの
アクセス成功本人として入れる
侵入を阻止パスワードだけでは通れない

各工程・分岐・レーンをクリックすると、その仕組みの説明がここに表示されます。

この図をテキストで読む

業務フロー図「多要素認証(MFA)の仕組み」。レーン3本、工程8個。 【レーン(担当)】(左から右) - ログインする人: 本人 / なりすまし - 認証システム: 二段階の関所 - 通さない: 止める結果 【工程】(上から下へ。担当 → 工程名) ── フェーズ: 第一関門(知っているもの) ── 1. ログインする人: ログイン〔開始・終了〕 2. ログインする人: ① パスワードを入力〔データ〕(知っているもの) 3. 認証システム: パスワードを確認〔分岐〕(第1段階:知っているもの) はい → ② ワンタイムコードを入力 いいえ → アクセス拒否 4. 通さない: アクセス拒否〔開始・終了〕(パスワードが違う) ── フェーズ: 追加確認(持っているもの) ── 5. ログインする人: ② ワンタイムコードを入力〔データ〕(持っているもの) 6. 認証システム: コードを確認〔分岐〕(第2段階:持っているもの) はい → アクセス成功 いいえ → 侵入を阻止 7. 通さない: 侵入を阻止〔開始・終了〕(パスワードだけでは通れない) ── フェーズ: 入場 ── 8. ログインする人: アクセス成功〔開始・終了〕(本人として入れる)

パスワードが漏れても、2つめの鍵で止まります。

身に覚えのない承認通知は『拒否』する

自分で操作していないのに、スマホに承認通知やコードが届いたら、パスワードが漏れているサインです。絶対に承認せず『拒否』し、すぐパスワードを変更しましょう。

押さえておきたい用語

多要素認証(MFA)
種類のちがう2つ以上の鍵をそろえて本人確認する仕組み。1つ破られても他で食い止められる。
認証の3要素
『知っているもの(パスワード)』『持っているもの(スマホ・キー)』『その人自身(指紋・顔)』の3種類。ちがう種類を組み合わせるほど強い。
ワンタイムコード(OTP)
数十秒ごとに切り替わる使い捨ての数字。盗み見されても次の瞬間には無効になる。
二段階認証
ログインを2ステップに分ける方式の呼び名。MFAとほぼ同じ意味で使われることが多い。
認証アプリ
スマホでワンタイムコードを生成するアプリ。SMSより安全とされ、MFAの定番。

ここから先へ

この解説とつながりのあるページ

ログインと守りの基本』の歩き方 3/5 歩目次は「シングルサインオン(SSO)