認証方式「What you know」「What you have」「What you are」「What calls you」:4つで考えるべき

ぜひシェア願います!
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin

【これは約 5 分の記事です】

このブログは、和装のセキュリティ解説者佐藤英治が書いております。しばしお付き合いのほどをお願いいたします。

一般的に、認証の方式は3つある、と言われています。

  1. 知識認証(What you know)
  2. 所有物認証(What you have)
  3. 生体認証(What you are)

総務省が出しているガイドラインでも、この考え方が踏襲されています。

公的個人認証サービス利用のための 民間事業者向けガイドライン
http://www.soumu.go.jp/main_content/000400619.pdf

ですが、私はこれにもう一つ

  1. 呼び出し認証(What calls you)

を考えたほうがいいのではないかと考えています。呼び出し認証とは何かというお話の前に、ほかの3つの認証方式についてご説明してまいります。

認証とは

認証とは、「その対象の人物が本人であることを認めることもしくはそのための手段」

になります。

本人以外の第三者がなりすましをしないよう、認証は確実に本人だけを認めなければいけません。その方法3つをまず説明します。

知識認証(What you know)

本人しか知らないはずの知識を認証の対象者が提示できるかによって認証をする方法です。

この認証方式の代表は「パスワード」でしょう。もしくは、「秘密の質問」もそうです。

残念なことに、秘密の質問によるろくでもない認証方式が横行しているため、本来秘密にしなくてもよい「母方の旧姓」「出身小学校」「自分の誕生日」も秘密にしなければいけない実に嘆かわしい状況になっていますが、それについては別のブログを見ていただければ幸いです。

表現の自由を犯している「秘密の質問」という仕組み

所有物認証(What you have)

本人しかもっていない所有物を対象者が提示できるかによって認証する方法です。

自宅のカギ

は、まさにこの認証方式で認証をしています。古来からある認証方式です。

生体認証(What you are)

本人の身体的特徴を照合することによって認証する方法です。

指紋認証・静脈認証・ふるまい認証

といったものがあげられ、比較的高度な技術を必要とする認証方式です。

SMSによるワンタイムパスワードや認証アプリはどれに入るのか

最近では、二段階認証で、SMSでワンタイムパスワードを送ったり、銀行振り込みをネットで行うとスマートフォンアプリで承認を促す仕組みがあります。これは上記のどれにあたるでしょうか。

上の3つで考えると

  • ワンタイムパスワード・・・パスワードによる知識認証
  • 認証アプリ・・・スマートホンによる所有物認証

となりますが、この考え方は、上記2つの認証にとって本質的ではありません。ワンタイムパスワードは張りつけさえ終われば記憶する必要はありません。また、同じ所有物認証でも、サーバを同期をとらなければいけないスマートフォンと物理的鍵では性質が異なります。

そこで、4つ目の認証方式の区分を提示します。

呼び出し認証(What calls you)

本人のみに連絡できる経路での呼び出しに対して返答できるかによって認証する方法。

4つ目の区分として、この区分を入れるべきだと、私は考えています。

例えば、本人の電話番号に電話する、本人だけに聞こえるように声がけする、といった時に反応があるか、といった基準で認証をします。

二要素認証にはWhat calls youを含めたほうが良い

なぜ、呼び出し認証(What calls you)を提唱するかですが、

二要素認証には呼び出し認証を含めたほうがセキュリティ強度が上がる

と考えるからです。

何故呼び出し認証がセキュリティ強度が強いかは、深く考察する必要がありますが、まず、このブログでは、

呼び出し認証(What calls you)

という考え方を提示したいと考えております。

ぜひシェア願います!
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin