もはや安全ではない二要素認証(2FA )と生体認証Computer Weeklyリバイバル

過去のComputer Weeklyから人気があったものを改めて紹介します。

2022年01月30日 08時00分 公開
[ITmedia]

破られた二要素認証

 二要素認証(2FA)でアクセスポイントを管理する組織が増えている。2FAの実施によって異なる種類のセキュリティを実現できるからだ。

 だが、「二要素認証が認証するのは個人ではなく端末だ。業界では二要素認証を『本人近似(identity approximation)』と呼んでいる。『本人認証』ではない」と語るのは、ImageWare Systemsでシニアバイスプレジデント兼CTO(最高技術責任者)を務めるダビッド・ハーディング氏だ。

 「端末認証は、識別または認証する対象の人物がその端末を所有していることを前提とする。前提の根拠となるのは、その端末が既知のものだということだけだ」

 最近の2FA侵害の例を幾つか紹介しよう。2019年8月、TwitterのCEOジャック・ドーシー氏のTwitterアカウントがハッキングされた。Twitterアカウントには2FAによる保護が施されていたが、複数の差別的なツイートが同氏のアカウントで投稿された。

 仮想通貨取引所Binanceは2FAシステムが侵害され、7000ビットコイン(日本円で44億円相当)が流出した。

 2FAの侵害は想像よりもかなり簡単だ。