２要素認証とは？　トークンデバイスは物理的に持つべき？

＃＃＃

はじめに
最近もパスワード使いまわしによる事件が多発しています。

固定パスワードが抱えるジレンマとして、プライベートで使っているパスワードと同じパスワードを業務システムで使っていたり、ブラウザにパスワードを保存していたり、液晶モニターにメモを貼りつけているなど、多くの企業がパスワード管理に悩まれていると思います。

特に社外から社内にリモートでアクセスするＶＰＮ機器にログインする時のＩＤ、パスワードについては、第３者が社内に接続されるリスクもあり、セキュリティの観点から単純なＩＤとパスワードだけでなく、２要素認証としてセキュリティを高めることが理想です。

2要素認証とは2つの方法を併用し、セキュリティの強度を高めたユーザ認証方式のことで、
一般的には
①ユーザが 知っていること
②ユーザが 所有しているもの
③ユーザ自身の 特性
の3種類のうち、2 つを使用してユーザを認証するプロセスになります。

従来の固定ＩＤとパスワードは「ユーザが 知っていること」に当てはまりますが、キーロガーを使用したり背後から盗み見たりすることでパスワードが漏れてしまったり、複雑なパスワードは覚えるのが大変なので同じパスワードを使い回したり、簡単なパスワードを利用される人は多くいると思います。　

そこで別の認証と組み合わせ、「ユーザ自身の特性」として指紋や静脈、網膜、虹彩などの生体認証と組み合わせて認証する仕組みがありますが、読み取り装置などを各自に配布する必要があり、利用するにはコストや持ち運びなどで敷居が高くなってしまいます。

他に「ユーザが 所有しているもの」を利用するケースとして、物理的なパスワード発生するトークンデバイスと言われる機器を利用するケースがあり、お客様からも単純なＩＤとパスワードよりは安心なので利用されている企業も多くあります。

しかしトークンデバイスを利用されている企業でよく話が出るのは
・海外で紛失すると全く使えない　（トークンデバイスを送付しても数か月使えず）
・物理的な破損、紛失があり、管理が大変
・定期的に電池切れなどで入れ替えのコストが発生
・初期展開時の配布コストが膨大
・すぐに使えない（トークンデバイスを渡すまで）
・結局PCと一緒に保管しているのでトークンデバイスを配布しても意味がない
・トークンデバイスを持ち歩くのを忘れて使えない場合があり
などこちらの方式についてもメリットだけでなくデメリットによる不満をよく聞きます。

この続きは以下をご覧ください
リンク