TOPSoftware > 消費者のニーズに合った脱パスワード、その方法は(下)

Software

消費者のニーズに合った脱パスワード、その方法は(下)

2021/10/29

Neal Weinberg CSO

 サイバー攻撃対策としてユーザー認証を強化する時には、絶妙なさじ加減が求められる。強固なセキュリティーは当然必要だが、あまりに複雑で面倒な操作を利用者に強いることは避けなくてはならない。また、秘密の質問や顔認証などの手法では、プライバシーに対する配慮も求められる。

前回から続く)

多要素認証:1要素より強力
Credit: Exdez / Getty Images
Credit: Exdez / Getty Images

 Gartnerの予測によると、2023年には大手グローバル企業の60%が多要素認証(MFA)を導入する見通しで、現在の10%に比べ大きく増える。またGartnerは、レガシー型の多要素認証と、進化型の多要素認証とを区別して扱っている。レガシー型の多要素認証とは、1つ目の要素がユーザー名/パスワードで、これに別の要素(例えば秘密の質問や、携帯電話やメールに届くPINコードなど)を組み合わせる手法のこと。一方、進化型の多要素認証とは、パスワードを完全に排除した手法だ。

 認証手法の1つとして次第に広まっているのが、プッシュ通知を使う方法だ。ログインなどの操作を行おうとした時に、専用の認証アプリを通じて、ユーザーのモバイルデバイスに通知が届く。利用者はその内容を確認したうえで、操作を承認する。使いやすく効率的で、コストもあまりかからない。唯一の難点と言えそうなのは、深く考えずに承認ボタンを押すユーザーが出てくることだ。通知の内容をきちんと確認しないまま、偽の取引を承認する結果になりかねない。Gartnerによると、銀行業界では、モバイルデバイスへのプッシュ通知などの手法を利用者が受け入れつつある。

 そのほかの多要素認証の手法としては、エンドユーザーに対し、ユーザー名/パスワードではなくメールアドレスの入力を求め、実際のリンクやPINコードをそのアドレスに送るという方法もある。

 多要素認証で各種の手法を組み合わせるやり方は、企業によってさまざまな形が考えられ、各社がセキュリティーと使い勝手の適切なバランスを目指すことになる。

↑ページ先頭へ