二要素な認証
二要素認証という単語がある。
認証の基本を図解、今なぜ2要素認証が必須になってきているのか 連載:サイバーセキュリティ最前線|ビジネス+IT
要素1: 知っているもの(SYK:Something You Know)
要素2: 持っているもの(SYH:Something You Have)
要素3: 自分自身(SYA:Something You Are)
とあるけれど、その「3つのうちの2つ」の要素を使うことを言う。
ID・password は、要素1で、じゃあ2つ目はどうすんの?というと、
たいていは 要素2の、「携帯電話やスマホ …のメール」あるいは「あらかじめ配布した …ワンタイムパスワード生成機」みたいな話になってくる。
では、使っているパソコンに 「IDとパスワードを読み取るマルウェアorトロイの木馬」 があったらどうなるかというと、
1段目はバレていた場合でさえ、2段目で阻止できるんだよ、という考え方。
疑問なのは、パソコンじゃなく、スマホブラウザからの話。
要素1、IDとパスワード… は、マルウェアに抜かれ、
要素2、持っているもの=スマホ は大前提であり、
独立に2要素ではないんですよね。
そういうマルウェアが出ないことを祈るばかり。
あるいは、それでも大丈夫なようなアンチウイルスを完備して欲しいと祈るばかり。