近年、新しいセキュリティコンセプト(security concept)が話題になっています。2段階認証または2要素認証(verification or two-factor authentication)(2FA)です。それはすべてグーグル(Google)がユーザーのためにそれを可能にすることから始まり、それ以来、マイクロソフト(Microsoft)、アップル(Apple)、フェイスブック(Facebook)を含む多くの企業が彼らの例に従った。ゲーム会社でさえこの傾向に加わった。二要素認証(two-factor authentication)とは何か、それがどのように機能するか、なぜそれを有効にする必要があるのか、そしてこの記事をどこで読むべきかを理解したい場合:
2段階認証または検証(authentication or verification)とは何ですか?
二要素認証は、あらゆる種類のサービス(電子メール、ソーシャルネットワーキング、銀行など)にアクセスしようとしている個人またはエンティティ(person or entity)のIDを確認するための2つの段階を含むセキュリティプロセスです。(security process)この概念は2段階認証とも呼ばれ、知識要素(knowledge factor)、所有要素(possession factor)、および固有要素(inherence factor)の3つの認証要素のうちの2つ以上が必要です。
従来の認証には、前述の3つの要素のうち1つまたは2つしか含まれていません。たとえば、電子メールなどのサービスを使用する場合、従来の認証では、ユーザー名とそのパスワードを知る必要があります。知識はさまざまな方法で盗まれる可能性があり、人々はあなたの(Knowledge)ユーザー名とパスワード(username and password)の両方を見つけて、その情報を使用してあなたになりすましたり、あなたに害を及ぼす可能性のある貴重な情報を盗んだりする可能性があります。
現実の世界では、従来の検証には知識要素(knowledge factor)と所有要素(possession factor)が含まれる場合があります。たとえば、現金を受け取るためにATMに行くときは、(ATM)デビットカードまたはクレジットカード(debit or credit card)(所持係数(possession factor))とPIN(知識係数(knowledge factor))を使用します。ただし、PINと(PIN)クレジットカード(credit card)の情報の両方がさまざまな方法で盗まれる可能性があり、許可されていない当事者があなたのお金を使用してオンライン取引を行う可能性があります。そのため、3Dセキュア(3D Secure)の概念は、オンラインのクレジットカードおよびデビットカードのトランザクションに追加のセキュリティレイヤーを提供するために開発されました。(security layer)
デジタルの世界で2段階認証プロセスを使用する場合、3番目の要素が追加されます。所有要素(possession factor)-通常はスマートフォンまたは携帯電話です。このデバイスは、本人確認の第2段階で使用されます。たとえば、電子メールアカウント(email account)にサインインするときは、最初にユーザー名とパスワードを入力します(username and password)。次に、数秒で有効期限が切れる時間ベースのパスワードを入力するように求められます。このパスワードは、メールアカウント(email account)、スマートフォンに送信することも、 Google認証システム(Google Authenticator)やMicrosoft認証(Microsoft Authenticator)システムなどの認証システムアプリ(authenticator app)によって生成することもできます。
一部の企業やサービスでは、検証プロセス(verification process)を完了するために使用する必要のあるコードを継続的に生成する物理認証デバイスも提供しています。たとえば、多くの銀行は2段階認証プロセス用の物理デバイスを提供しているため、オンラインで銀行口座(bank account online)にアクセスできます。また、PayPalは、(PayPal)米国(USA)を含む多くの国でこれを行っています。
二要素認証(authentication work)はどのように機能しますか?
2段階認証の実装は多数ありますが、この記事は非常に長くなるため、すべての実装については詳しく説明しません。
最も人気のある実装は、TOTPに基づくGoogleのアプローチ(Google)です-時間ベースのワンタイムパスワードアルゴリズム(TOTP - Time-based One-time Password Algorithm)。アカウントで2段階認証プロセスが有効になっている場合、特別なサーバーが数秒に1回新しいパスワード/コードを生成します。パスワードを共有しているデバイスは、2番目の認証手順(authentication step)で入力したコードがサーバー上のコードと一致するように、サーバーと同期する必要があります。パスワードを共有しているデバイスが同期していない場合、本人確認を完了できません。
このアルゴリズムは、オンラインで最も人気のあるアルゴリズムです。Google、Microsoft、Apple、Facebook、Evernote、Dropbox、WordPress、MailChimp、LastPassなど、多くの企業がこれを使用しています。
二要素認証がどのように機能するかを理解しやすくするために、多くの人がプレイする人気のあるオンラインゲームである(online game)フォートナイトを例にとってみましょう。(Fortnite)Epic Gamesアカウント(Fortniteの作成者)に2要素認証(2FA )を構成すると、ログインするための(Fortnite)ユーザー名とパスワード(username and password)を入力するだけでは不十分です。また、使用できるようにするには、セカンダリパスコードを入力する必要があります。それをするために。
追加のパスコードは一時的なものであり、それを知っているのはあなただけです。このコードは、認証システムアプリ(authenticator app)(Google認証システムなど)または(Google Authenticator)Epic Gamesから受信したメールメッセージからのみ取得できるため、他の誰もそれを見つけることができないはずです。二要素認証コードは数秒ごとに変更されるため、推測することはほとんど不可能です。
正しい2要素認証コードを提供すると、 (authentication code)Fortniteアカウント(Fortnite account)にサインインします。次の30日間は、すでにサインインしているデバイスで2FAコードを提供する必要はありません。ただし、30日間の終わりに、または新しいデバイスからログインしようとする場合は、再び有効な2FAパスコード。
銀行セクター(banking sector)における2要素認証
もう1つの一般的なアプローチは、銀行やクレジットカード(credit card)プロバイダーが使用するアプローチです。これは3-Dセキュア(3-D Secure)と呼ばれ、オンラインで行われる金融取引を承認するために使用されます。この2段階の検証方法には、3つのエンティティが含まれます。つまり、支払い先の加盟店または銀行のドメイン、使用されているカードを発行する銀行のドメイン、および3Dプロトコルをサポートするインフラストラクチャです。
このプロトコルは、オンライントランザクションを行うために安全なSSL接続のみを使用します。トランザクションを承認するには、(SSL)名前とクレジットカードの詳細(name and credit card details)とともに特別なパスワードが必要です。このパスワードは、一時的で時間ベースの場合もあれば、永続的でユーザーが設定する場合もあります。もう1つの重要な側面は、このパスワードが販売者またはお金が支払われている銀行によって保存されていないことです。パスワードは、3Dプロトコルのインフラストラクチャを提供するサーバーによってのみ認識されます。したがって、販売者がハッキングされた場合、ハッカーは3Dセキュアパスワード(Secure password)を取得できません。
なぜ2要素認証が必要なのですか?
2段階認証プロセスを使用する必要がある主な理由は、自分自身を保護するためです。この追加の保護レイヤーを使用することで、不要な関係者がオンラインでID(identity online)にアクセスし、個人データや財務データを盗むことが困難になります。
金融取引に3Dセキュアを使用すると、ハッカーがお金を盗むのが難しくなります。カードの詳細をコピーするのは簡単ですが、3Dセキュアパスワード(Secure password)を取得するのに苦労するでしょう。
二要素認証はいつ使用する必要がありますか?
二次認証ステップ(authentication step)を追加することは誰にとっても煩わしいことですが、アカウントとデータを非公開にするために必要です。少なくとも次の種類のサービスでは、2段階認証プロセスを有効にして使用することを強くお勧めします。
- 電子メール(E-mail)-受信トレイ(Inbox)には、すべてのオンラインアカウントの中で最大量の個人データが保存されます。人々はあなたの電子メール履歴をスパイし、あなたの銀行口座とPayPalアカウント(banking and PayPal accounts)のユーザー名を学び、あなたの仕事、あなたの関係、そして他の多くの重要な詳細についてもっと学ぶことができます。受信トレイを保護することは、最初にすべきことです。
- オンラインバンキングと金融取引(Online banking & financial transactions)-オンラインバンキングを行う場合、Amazon、eBay、またはその他のオンラインショップから商品を購入する場合は、クレジットカードまたはデビットカードを保護する必要があります。3Dセキュアと、銀行が提供する2段階認証オプションについて銀行に問い合わせ、有効にして使用します。
- パスワードの保存(Storing your passwords)-多くのセキュリティ意識の高い人々は、 LastPass、Roboform(Roboform or KeePass) 、KeePassなどのサービスを使用しています。それらを保護することは非常に重要です。アカウントのパスワード(account password)が盗まれた場合、許可されていない第三者がすべてのパスワードにアクセスし、ユーザーに多大な損害を与える可能性があります。
- ソーシャルネットワーキング-私たちは皆、 (Social Networking)Facebook、Twitter、Instagramなどのソーシャルネットワークに多くの個人データを保存しています。他の人があなたのデータにアクセスした場合、彼らはあなたが秘密にしておきたい多くのことを見つけるかもしれません。たとえば、あなたが嫉妬深いパートナーを持っている場合、彼らはすでにあなたのFacebookパスワード(Facebook password)を知っていて、あなたが何をしているかを監視しているかもしれません。身を守り、2要素認証を有効にします。
最も重要なアカウントで2要素認証を有効にする方法
一般に、2要素認証を有効にすると、オンラインアカウント(account and head)にログインして、パスワードとセキュリティ設定(password and security settings)にアクセスする必要があります。次に、アカウントに2要素認証を使用できる場合は、そのオプションを見つける必要があります。2FAが利用可能な場合、それを有効にするということは、好みの方法を選択するいくつかの手順に従うことを意味します(通常、それは電子メールまたは(email or authenticator app)スマートフォンの認証アプリによる認証です)。二要素認証の有効化と使用を支援するために、最も人気のあるオンラインサービスのいくつかをカバーするいくつかのガイドを公開しました。
- Googleアカウント(Google account)の2段階認証プロセスを有効または無効にする方法
- (Approve)Androidを使用したMicrosoftアカウント(Microsoft account)へのサインインリクエストを承認または拒否します
- iPhoneまたはiPadで(iPhone or iPad)AppleIDの2段階認証を有効にする方法
- (Set)Google認証システム(Google Authenticator)を使用してMicrosoftアカウント(Microsoft account)の2段階認証プロセスを設定します
- Fortniteの2FA(2要素認証)を有効にして使用する方法
- Blizzardアカウント(Blizzard account)で2要素認証(2FA)を有効にして使用する
また、自社で2要素認証を実装する簡単な方法をお探しの場合は、この種の優れたソリューションのメリットに関する短い記事をご覧ください。ESETSecureAuthenticationでできる7つのこと。
すべてのアカウントで2要素認証を有効にしましたか?
このガイドがお役に立てば幸いです。2段階認証プロセスの仕組みを理解する上で質問や問題がある場合は、下にコメントを残してください。
Simple questions: What is two-factor authentication or two-step verification?
In recent yeаrs a new sеcurity cоnceрt has made the headlines - two-step verifіcation or two-factor authentication (2FA). It all started with Google enabling it for its users, and sinсe then, many comрanies followed thеir example, іncluding Micrоsoft, Apple, and Facebook. Even gaming companies joined this trend. If you would like to understand what two-factor authentication is, how it works, why you should enable it аnd where read this article:
What is two-step authentication or verification?
Two-factor authentication is a security process that involves two stages for verifying the identity of a person or entity that is trying to access a service of any kind (e-mail, social networking, banking, etc.). This concept is also named two-step verification, and it requires two or more of these three authentication factors: a knowledge factor, a possession factor, and an inherence factor.
Traditional authentication involves only one or two of the three factors mentioned earlier. For example, if you want to use a service like e-mail, traditional authentication involves knowing a username and its password. Knowledge can be stolen in a variety of ways and people can find out both your username and password, and then use that information to pose as you, or steal valuable information that can be used to harm you.
In the real world, traditional verification may involve the knowledge factor and the possession factor. For example, when you go to an ATM to get cash, you use your debit or credit card (possession factor) and the PIN (a knowledge factor). However, both the PIN or the information on your credit card can be stolen in various ways, and unauthorized parties can make online transactions using your money. That's why the 3D Secure concept has been developed to provide an additional security layer for online credit and debit card transactions.
When using two-step verification in the digital world, a third factor is added: the possession factor - usually your smartphone or mobile phone. This device is used for the second stage of verifying your identity. For example, when you sign-in to your email account, you first provide your username and password. Then, you are asked to provide a time-based password that expires in a couple of seconds. This password can be sent to your email account, to your smartphone, or it can be generated by an authenticator app such as Google Authenticator or Microsoft Authenticator.
Some companies and services also provide physical authentication devices that continuously generate the codes you need to use to finalize the verification process. For example, many banks provide physical devices for two-step verification, so that you can access your bank account online. Also, PayPal does this for a number of countries, including the USA.
How does two-factor authentication work?
The implementations for two-step authentication are many, and we do not go into details about all of them because this article would become very long.
The most popular implementation is Google's approach based on the TOTP - Time-based One-time Password Algorithm. When two-step verification is enabled for your account, a special server generates a new password/code once every couple of seconds. The device sharing the password with you needs to be synchronized with the server so that the code you enter during the second authentication step matches the one on the server. If the device sharing the password is out of sync, you cannot complete the verification of your identity.
This algorithm is the most popular one found online. Many companies use it, including Google, Microsoft, Apple, Facebook, Evernote, Dropbox, WordPress, MailChimp, and LastPass.
To make it easier for you to understand how two-factor authentication works, let's take for example Fortnite, a popular online game that many people play. Once you have configured two-factor authentication (2FA) for your Epic Games account (the creators of Fortnite), it is no longer enough just to provide your username and password to log in. You also have to provide a secondary passcode to be able to do that.
The additional passcode is temporary, and you are the only one who knows it. No one else should be able to find it, as you can only get this code from an authenticator app (such as Google Authenticator) or from an email message you receive from Epic Games. The two-factor authentication codes change every couple of seconds, so they should be almost impossible to guess.
If you provide the correct two-factor authentication code, you are signed into your Fortnite account. For the next 30 days, you do not have to provide 2FA codes on the device on which you already signed in. However, at the end of the 30 days or if you try to log in from a new device, you have to provide a valid 2FA passcode again.
Two-factor authentication in the banking sector
Another popular approach is the one used by banks and credit card providers. It is named 3-D Secure, and it is used for approving financial transactions that are made online. This method of two-step verification involves three entities: the domain of the merchant or the bank to which the money is being paid, the domain of the bank which issues the card being used and the infrastructure that supports the 3-D protocol.
This protocol uses only secure SSL connections for making online transactions and, for a transaction to be approved, you need a special password, alongside your name and credit card details. This password may be temporary and time-based, or it may be permanent and set by you, the user. Another important aspect is that this password is not stored by the merchant or the bank to which money is being paid. The password is known only by the servers providing the infrastructure for the 3-D protocol. Therefore, if the merchant is hacked, hackers cannot get your 3-D Secure password.
Why do you need two-factor authentication?
The main reason why you should use two-step verification is to protect yourself. By using this additional layer of protection, you make it harder for unwanted parties to access your identity online and steal personal or financial data.
When using 3-D Secure for financial transactions, you make it harder for hackers to steal your money. It is easy for them to copy your card details but they are going to have a hard time getting your 3-D Secure password.
When should you use two-factor authentication?
Adding a secondary authentication step is annoying for everyone but necessary to keep our accounts and data private. We highly recommend that you enable and use two-step verification at least for the following types of services:
- E-mail - your Inbox stores the biggest amount of personal data out of all your online accounts. People can spy on your email history, learn the username for your banking and PayPal accounts, learn more about your work, your relationships, and many other important details. Securing your inbox is the first thing you should do.
- Online banking & financial transactions - if you do online banking, if you purchase stuff from Amazon, eBay or other online shops, you must secure your credit or debit card. Ask your bank about 3-D secure and the two-step verification options they offer, enable them and use them.
- Storing your passwords - many security conscious people use services like LastPass, Roboform or KeePass. Securing them is crucial. If your account password is stolen, unauthorized parties have access to all your passwords and can do a lot of harm to you.
- Social Networking - we all store lots of personal data on social networks such as Facebook, Twitter, or Instagram. If others get access to your data, they might find many things you would rather keep private. For example, if you have a jealous partner, they may already know your Facebook password and keep an eye on what you do. Protect yourself and enable two-factor authentication.
How to enable two-factor authentication for your most important accounts
In general, enabling two-factor authentication means that you have to log in to your online account and head to your password and security settings. Then, if you can use two-factor authentication for your account, you should find an option for it. If 2FA is available, enabling it means following a couple of steps in which you choose the method you prefer (usually, that is authentication via email or authenticator app on a smartphone). To help you out in enabling and using two-factor authentication, we have published a few guides that cover some of the most popular online services:
Also, if you are looking for an easy way to implement two-factor authentication in your own company, here is a short article about the benefits of an excellent solution of this kind: 7 things you can do with ESET Secure Authentication.
Have you enabled two-factor authentication on all your accounts?
We hope that you found this guide useful. If you have any questions or issues with understanding how two-step verification works, do not hesitate to leave a comment below.