企業ユースであればシングルサインオンは二要素認証(多要素認証)と併用するべき

シングルサインオンを導入するとパスワードをいちいちユーザーはすべてのアプリケーションのパスワードを覚える必要がなくなる。パスワードを一回入力しシングルサインオンにログインができるとすべてのアプリケーションが使えるようになる。

シングルサインオンにログインするパスワードをたったひとつ盗まれただけですべてのアプリケーションがログインされるようになり、ユーザーの利便性は上がったが、セキュリティに対する脅威は逆により危険になったと解釈することもできるだろう。

keyring

シングルサインオンはたとえるとキーフォルダーのようなもので不正にとられた場合悪用されることになるだろう。

そのような脅威を防ぐために複数回認証をする仕組みがあり、その方式は二要素認証とよばれる。もちろん2回だけでは足らないのでそれ以上の認証を行わせることもできそれは多要素認証と呼ばれる。

シングルサインオンとニ要素認証の組み合わせは絶対必要と言うわけではないが、導入は考えたほうがよい。 “企業ユースであればシングルサインオンは二要素認証(多要素認証)と併用するべき” の続きを読む

【用語説明】二要素(多要素)認証について

弊社で扱っているいくつかの製品では2要素認証をサポートしている。

ワンタイムパスワードが一般的に

最近ではインターネットサービスで利用されるようになったワンタイムパスワードトークンがある。

たとえばオンラインゲームやインターネットバンキングでも利用されている。私もドラゴンクエスト10をするためにトークンを購入した。

ID/パスワードとともにワンタイムパスワードトークンに表示された乱数を入力することでログインができるようになる。

またこの方式は、グーグルやSNSなどでも利用できるようになっており、近い将来もっと標準的なものになる可能性がある。

 

IMAG0296

多要素認証とは

今までのシステムでは本人だけが知っているべきパスワードが一般的に認証に使われている。

ただパスワードは文字の羅列だけで、それが何かを知っていれば本人でなくてもログインができる。

多要素認証はそれまでよく利用されているパスワード以外のその他の要素を組み合わせた認証方式のことである。

様々な認証方式

ワンタイムパスワードはインターネットサービスでよく見られる方式であるが、その他にもいろいろある。

生体認証

目の瞳や指紋を元に認証する。銀行のATMで指紋認証をサポートしている。

カードを用いた認証

IC(スマート)カードがある。たとえば部屋の入退出の管理などとも利用されることがある

USBトークン

USBポートにトークンを刺すことでアクセスが可能になる。

二要素認証で使われる一番目の要素はパスワードによる認証で、二番目の要素がこれらのデバイスを利用した認証になる。

なぜワンタイムパスワードがインターネットサービスで利用されるかについては、PCだけでなくスマホとかでも利用できるし何かデバイスをPCに接続することなく利用できるからだと考えられる。

エンタープライズでは機器の制約がコンシューマーと比較して低いのでワンタイムパスワードにこだわる必要がない。ワンタイムパスワードの欠点としてはいちいちワンタイムでパスワードを生成させ入力させるといった手間があるが、デバイスを接続する認証はそのような手間が必要がないのが特長である。

それぞれの認証方式は一長一短があり一概にどの方式がいいとは言えない。

関連リンク

 多要素認証ソリューション