多要素認証(MFA)は、パスワードに『手元のスマホ』という種類のちがう鍵を重ねる仕組みです。片方が破られても、もう片方で侵入を食い止めます。
- 第 1 の鍵は知っているもの、第 2 の鍵は持っているもの
- パスワードが漏れても、2 つめの鍵で止まる
- 大事なサービスほど MFA を有効にしておく
なぜパスワード1つでは不安なのか
『あなたしか知らないはず』のパスワードは、別のサービスからの漏えいや推測で他人の手に渡ることがあります。鍵が1本だけの家と同じです。だから2本目には、盗み方がまったく別物になる『種類のちがう鍵』を足します。
二段階の関所 ― 2つの鍵で本人を確かめる
各工程・分岐・レーンをクリックすると、その仕組みの説明がここに表示されます。
この図をテキストで読む
業務フロー図「多要素認証(MFA)の仕組み」。レーン3本、工程8個。 【レーン(担当)】(左から右) - ログインする人: 本人 / なりすまし - 認証システム: 二段階の関所 - 通さない: 止める結果 【工程】(上から下へ。担当 → 工程名) ── フェーズ: 第一関門(知っているもの) ── 1. ログインする人: ログイン〔開始・終了〕 2. ログインする人: ① パスワードを入力〔データ〕(知っているもの) 3. 認証システム: パスワードを確認〔分岐〕(第1段階:知っているもの) はい → ② ワンタイムコードを入力 いいえ → アクセス拒否 4. 通さない: アクセス拒否〔開始・終了〕(パスワードが違う) ── フェーズ: 追加確認(持っているもの) ── 5. ログインする人: ② ワンタイムコードを入力〔データ〕(持っているもの) 6. 認証システム: コードを確認〔分岐〕(第2段階:持っているもの) はい → アクセス成功 いいえ → 侵入を阻止 7. 通さない: 侵入を阻止〔開始・終了〕(パスワードだけでは通れない) ── フェーズ: 入場 ── 8. ログインする人: アクセス成功〔開始・終了〕(本人として入れる)
身に覚えのない承認通知は『拒否』する
自分で操作していないのに、スマホに承認通知やコードが届いたら、パスワードが漏れているサインです。絶対に承認せず『拒否』し、すぐパスワードを変更しましょう。
押さえておきたい用語
- 多要素認証(MFA)
- 種類のちがう2つ以上の鍵をそろえて本人確認する仕組み。1つ破られても他で食い止められる。
- 認証の3要素
- 『知っているもの(パスワード)』『持っているもの(スマホ・キー)』『その人自身(指紋・顔)』の3種類。ちがう種類を組み合わせるほど強い。
- ワンタイムコード(OTP)
- 数十秒ごとに切り替わる使い捨ての数字。盗み見されても次の瞬間には無効になる。
- 二段階認証
- ログインを2ステップに分ける方式の呼び名。MFAとほぼ同じ意味で使われることが多い。
- 認証アプリ
- スマホでワンタイムコードを生成するアプリ。SMSより安全とされ、MFAの定番。
ここから先へ
この解説とつながりのあるページ