二要素認証（2FA）も生体認証も破られた！：Computer Weeklyリバイバル

過去のComputer Weeklyから人気があったものを改めて紹介します。

[ITmedia]

もはや安全ではない二要素認証（2FA）と生体認証

　現在では、パスワードの最小要件として長さと複雑さが設定されるようになっている。だが、その要件が逆にセキュリティインフラの弱点となっている場合が多い。

　この弱点の克服にはパスワードデータベースが役に立つ。パスワードはデータベースに安全に保管され、ユーザーは覚えている必要がないため複雑なものを設定できる。ただしこの場合は、パスワードデータベースがエンドポイントセキュリティの単一障害点となる。

　そのため二要素認証（2FA）でアクセスポイントを管理する組織が増えている。2FAの実施によって異なる種類のセキュリティを実現できるからだ。

　「2FAが認証するのは個人ではなく端末だ。業界では2FAを『本人近似（identity approximation）』と呼んでいる。『本人認証』ではない」と語るのは、ImageWare Systemsでシニアバイスプレジデント兼CTO（最高技術責任者）を務めるダビッド・ハーディング氏だ。

　「端末認証は、識別または認証する対象の人物がその端末を所有していることを前提とする。前提の根拠となるのは、その端末が既知のものだということだけだ」

　そしてついて2FAが侵害された。その例を幾つか紹介する。

関連記事

• 2FAバイパスツールがもたらした二要素認証安全神話の終焉
• 十分に進化した生体認証は“手に埋め込んだチップ”すら不要
• Windows 10の次期バージョンでパスワードレスサインインが実現
• 「人の声がその答えだ」──パスワード認証に代わる音声生体認証
• RPAに組み込むべきセキュリティ対策
• パスワードのない世界の条件は「FIDO＋アルファ」