二段階認証 | Programming Place Plus　用語集

名称

• 二段階認証　【2-step authentication、2-step verification】
• ２ステップ認証　【2-step authentication、2-step verification】
• (表記ゆれ) ２段階認証

解説

ログインの際に、ユーザーが本人であるかどうかの認証を、２回に分けておこなう方法のことです。

一般的にはまず、ユーザーID とパスワードを入力させる方法で１回目の認証を行います。その後、２回目の認証として、SMS や電子メール、電話などの方法を使って、認証コード（暗証番号）を送り、それを入力させる方法が多いです。

ユーザーID やパスワードによる認証だけでは、これらの情報が漏洩したり、推測されたり、あるいは適当な試行を繰り返すことで偶然に突破される可能性がわずかでもあります。二段階認証は、本人であることの確度を高めるために２回目の認証をするわけですが、やみくもに認証の段階を増やしたからといって、セキュリティの向上に期待はもてません。高い効果を得るためには、まったく異なる仕組みの認証を組み合わせること（多要素認証）が重要です。

多要素認証は、認証のために利用できる３つの要素（本人だけが知っていること、本人だけが所有しているもの、本人自身の特性）を２つ、または３つ組み合わせて認証をおこなうことをいいます。２つだけのものを二要素認証と呼びます。二段階認証であり二要素認証でもあるということはあり得ますが、両者は意味としては別のものです。

ユーザーID とパスワードによる認証のあと、SMS で認証コードを送信し、それを入力させる手法は、ユーザーID とパスワードは「本人だけが知っていること」、スマートフォンは「本人だけが所有しているもの」なので、二段階認証であり二要素認証でもあります。

一方、ユーザーID とパスワードによる認証のあと、電子メールを使って認証コードを送信し、それを入力させる手法は、二段階認証ではあっても二要素認証ではありません。電子メールは他人の PC やスマートフォンを使っても開くことは可能ですから「本人だけが所有しているもの」ではありません。電子メールは分類としては「本人だけが知っていること」に該当します。

電子メールが「本人だけが知っていること」に該当するというのは、メールアドレスのことをいっているのではなく、電子メールを受信して開くためには、メールサーバーに接続する必要があって、そこでパスワードが必要になるため、そのパスワードは本人しか知らないはずだという理屈です。メールアドレスはほかの誰かに教えてしまっているはずですから（でなければ誰からも届かないし、誰かに届けた時点で送信元は相手に知れる）、メールアドレス自体は「本人だけが知っていること」にはなりません。