サービスを利用する際に本人確認を2回行い、不正ログインやなりすましを防止する認証方法。IDとパスワードの入力による認証に加えて、アプリによる許可やセキュリティコードの入力などを組み合わせることが多い。

 ネットサービスで広く利用されているIDとパスワードによる本人確認は、パスワードが漏洩すると第三者から容易にアクセス、不正ログインされやすい。2段階認証では本人認証を2回組み合わせることで、セキュリティを高めている。銀行やクラウドサービス、SNSなど、セキュリティを重視するサービスで2段階認証への対応が増えている。2段階認証の中でも1回目にID・パスワードによる認証、2回目に生体認証やSMSを使った使い捨ての認証コードを使うような、異なる方式を組み合わせて認証する方法を「2要素認証」と呼ぶ。

 複数サービスで同じパスワードを使い回したり、生年月日や電話番号など類推しやすい数字をパスワードとして使ったりすると第三者が不正アクセスしやすい状態になる。こうしたケースでも2段階認証を導入することで、安全性を高めることができる。2段階目の認証方式としては1段階目同様のID・パスワードによる認証に加えて、指紋や顔などの生体認証、SMS/メール/音声通話で届く使い捨ての認証番号を使う方法、専用のハードウエアやアプリが発行するトークンを使う方法などがある。

 常に持ち歩いて使うスマートフォンは、2段階認証で本人であることを確認するための端末として適している。スマートフォンは指紋や顔認証などの生体認証機能を搭載している場合が多く、2段階目の認証方式として利用しやすい。また使い捨ての認証コードをスマートフォンで受け取るようにすれば、第三者がサービスに不正アクセスしようとしても、スマートフォンに届く2段階目の認証コードを入手するのは難しい。心当たりのない2段階目の認証要求が届けば、誰かが不正にログインしようとしていることをいち早く本人が知ることができる。

グーグルのクラウドサービス利用時に表示される2段階認証画面。アプリの使い捨て確認コードを入力する
グーグルのクラウドサービス利用時に表示される2段階認証画面。アプリの使い捨て確認コードを入力する
[画像のクリックで拡大表示]