以前のパスクリ通信で二段階認証をも騙す巧妙なフィッシングの手口を紹介しました。
>二要素認証も安全とは言えない!?(パスクリ通信2019年3月1日号)
こういう手口によって騙されてしまわないようにするために、Googleが二段階認証用の物理セキュリティキーを発表し、日本での発売も開始しました。
Google Titan セキュリティ キー (Googleサイトより画像転載)
>Google 「Titan セキュリティ キー バンドル」(日本円で消費税別 6,000円)
購入できるのは、USB端子(タイプA)のついたキーと、Bruetoothにより接続するキーの2個セット。
どちらのキーも二段階認証のための機能は同じで、メーカーは、どちらかを使用してどちらかは保管しておくことを勧めています。
PCの場合は割とどちらでも大丈夫ですが、スマホやタブレットなどの場合はUSB-A端子がないことのほうが多いので、Bruetoothキーを常時持ち歩いて、USBキーは予備に保管しておく、というのが一般的かと思います。
通常の二段階認証の場合、ログイン時にセキュリティコードがSMSなどでスマホに送られ、そのコードを認証画面にユーザーが入力することで二段階目の認証が完了する、というのが一般的ですが、この物理セキュリティの場合は、二段階目のコード入力の手間がなくなります。
ログイン時の二段階目は、この物理キーのボタンを押すことで認証が完了するのです。
これにより、二段階認証を装ったフィッシングサイトで、二段階目のコードをユーザーが自ら入力することで、セキュリティコードが盗まれてしまうことがなくなる、というわけです。
もちろんログインするサイト側が対応していることが必要ですが、Twitterやfacebookが対応しているので、これらとIDフェデレーション連携しているサービスでは使えますし、対応サービスも増えているので、今後使える場面がさらに増えていくこととでしょう。
セキュリティ強化の観点からは、実際にGoogleが社員85,000人にこのセキュリティキーを使わせたところ、フィッシングによる被害がなくなったというレポートもあがってきているほどです。
その大きな理由が、この物理セキュリティキーが、 特別な技術を用いて、二段階認証時に「ユーザーが正しいサイトにアクセスしていることを確認している」点にあります。つまり巧妙に二段階認証のセキュリティコードを盗もうとするサイトを見分けて防いでくれる、ということです。
これは素晴らしいことです。
もちろん物理的なキーであるがゆえに、キーの持ち運びや取り出し、受け渡しの手間やコスト、キーの紛失や盗難、破損などのトラブルへの対応は必要になってきます。キーの持ち忘れだってあるでしょうし・・・。
このへんのウイークポイントは従来の所有物認証と同じですね。
現在、認証強化のために様々なサービスで導入が進んでいる二段階認証のほとんどが「スマホありき」の二段階認証になっていますが、このセキュリティキーの場合には、スマホが必要ではないため、スマホを持っていない人でも認証強化ができる点で意味があるかと思います。
しかし個人的には、不正なサイトを見分けてくれる、という機能以外は、新たなモノの管理が増えるという点で、わずらわしさが増える気がしてなりません。
それでもこの物理セキュリティキーは、重要な資産や情報を守るための認証セキュリティ強化の切り札として、普及していく可能性があります。今後の動向に注目しましょう。