「固定のパスワード + 毎回変化するトークン」のような組み合わせを使った認証方法。
- Bruce Schneier - The Failure of Two-Factor Authentication
- http://www.schneier.com/blog/archives/2005/03/the_failure_of.html
- 武田圭史 - 生体認証と二要素認証が疑問視される理由
- http://motivate.jp/archives/2005/03/post_35.html
1 つ目は英文のエッセイ。2 つめのリンク先に要約があるが、「二要素認証を導入しても、中間者攻撃やトロイの木馬に対してまったく効果がない。無駄な認証方法に金かけてないで、対抗できるような方法考えとかないとヤバイですよ」という趣旨。
ちなみに、二要素認証技術を売ってる企業の側から反論が出ているようだ。
- @IT - 「二重認証」はいまだ死なず
- http://www.atmarkit.co.jp/news/200504/16/two.html
……が、この記事、最初のエッセイより後に読むと、どうにもうさんくさい。
Schneier 氏の記事では、ここ 20 年で状況が変わり、もはや二重認証では安心できなくなってきている、という主張をしているのに、「膨大な数の企業や政府機関各所では (中略) 20年近く前から二重認証を無事に利用してきた」と返したり、「すべての脆弱性に対処するセキュリティツールはないし (中略) ユーザー教育に勝るものは1つもない」と話をすりかえたりしている。
ちなみに、@IT の記事では "man-in-the-middle attacks" を「人が介入する攻撃」と訳しているが、これはたぶん誤訳。
- IT用語辞典 e-Words - 中間者攻撃とは 【man-in-the-middle attack】
- http://e-words.jp/w/E4B8ADE99693E88085E694BBE69283.html
