昨年の7pay事件で話題になった二段階認証ですが、正確には二段階ではダメで二要素である必要があります。
二要素認証とは何かという詳しい説明は省きますが、以下の三要素のうち二要素を使って認証するものだと考えてください。
- 知識 パスワード・暗証番号等
- 所有 SMS・メール等
- 生体 指紋・虹彩等
ウェブサービスの場合、一般的には知識と所有で認証するケースが多いみたいです。ちなみに、二段階認証とは先の三要素のうち一要素を使って二段階のガードを設けるものを一般的には言います。
二要素認証を設定する事で、パスワード(知識)を攻撃者に突破されても、他の要素を攻撃者が突破する事は難しいためアカウントの乗っ取りを防ぐ事が出来ます。
弊社サイトでも二要素認証を設定(WordPressのAuthy Two-Factor Authenticationプラグインを導入)していまして、以下のような手順でログインするようにしています。
先ずは通常通り、ユーザー名+パスワードでログインします。一要素目は知識によるログインです。
そうすると、Authyというスマートフォン用MFAアプリ側の操作待ちになります。二要素目は所有によるログインです。
Authyをインストールして設定したスマートフォン側では、このような画面になります。表示されている内容に問題なければ「Approve」をタップ、自分の操作によるものではないならば「Deny」をタップします。
Approveをタップすれば無事にログインを完了する事が出来ますし、Denyをタップすればログインを拒絶する事が出来ます。
このようなMFAアプリは多々ありますし、恐らく各CMSにも二要素認証対応の手段が何らかの形で用意されているかと思います。是非とも導入してセキュリティの強化を図りましょう。但し、CMSの保守をせずに脆弱性を放置しては元も子もありませんので御注意を!