東海国立大学機構 名古屋大学 情報連携推進本部

多要素認証に関するTips

CASについて

CAS(Central Authentication Service)はシングルサインオンサービス(※)の実装の1つであり、 名古屋大学では、CASを利用して名古屋大学ID(名大ID)とパスワードによるシングルサインオンを提供しております。 これにより、名古屋大学ポータル、NUCT、教員データベースを始めとする多数の情報サービスに 名大IDとパスワードのみで認証して利用できるようになっております。
(※) 1つのIDとパスワードで、様々な情報サービスにログインできる情報基盤技術。

近年ではIDとパスワードだけの認証では、情報セキュリティ的に十分とは言えなくなって来ています。 そのため、広く使われているOATH-TOTP規格の多要素認証(2要素認証)に対応した多要素認証CASを準備し、 順次、それぞれの情報サービスの認証を多要素認証CASに移行しています。
(注意:多要素認証を導入するシステムは複数あります)

多要素認証CASでは、名大IDとパスワードの他に、「認証コード」と呼ばれる30秒ごとに変化する6桁の数字を認証に用います(下図参照)。 この認証コードは、認証シードを登録した認証アプリ(スマホ、PC)、もしくは、ハードウェアトークンに表示された物を使います。 ハードウェアトークンは購入に公費や私費の支出を伴うため、 なるべく多くの方々に、認証アプリ(スマホ、PC)を利用する形で利用いただけると幸いです。
なお、Microsoft Autenticator(スマホ用アプリ)の利用を推奨します。

多要素認証のセットアップ方法は以下を参照して下さい。

なお、多要素認証CASの認証サーバのURLはauth-mfa.nagoya-u.ac.jpで始まる点に注意して下さい(偽CASサーバに注意)。

多要素認証CAS

パスワード認証と多要素認証の認証の違い

利用IDに対してパスワードのみで認証可能な認証が「パスワード認証」であり、 パスワードに加えて、パスワードと異なる要素(時間で変化する認証コード、生体情報、秘密鍵ファイル、など)を 認証に併用するものが「多要素認証」になります。 必要とする要素数により、2要素認証、3要素認証などと呼ぶこともあります。

名古屋大学の多要素認証CASは、「認証コード」と呼ばれる30秒ごとに変化する6桁の数字を2要素目に用いる、 多要素認証(2要素認証)になります。

パスワード認証と多要素認証

多要素認証に関するTips

最近では、学外の情報サービスでも多要素認証をうたう所が増えていますが、 多要素認証について誤解しているのか、認証における安全性にあまり寄与しないものに対して 「多要素認証」をうたっている事例なども見られます。

以下にいくつか事例を挙げます。 最近の認証破りは、他の情報サービスで流出したID(メールアドレス)とパスワードの流用や、 偽サイト(フィッシングサイト)に入力されたIDとパスワードの悪用などによるものが多く、 以下のような誤解した多要素認証では安全性にあまり寄与しません。

また、「当サービスではSMS(ショートメッセージサービス)認証のみを2要素認証に使えます」とうたって、 不必要にSMSの送信先である携帯電話番号(個人情報)を収集する事例もありますので、 そのような要求をしてくるサービスには注意しましょう。 アメリカ国立標準技術研究所(NIST)ではもう何年も前に「SMS認証は安全でない」と発表しております。 どうしても端末側で使える手段がSMS認証しか無い場合を除いて、SMS認証を使うことは好ましくありません。 既にSMS認証への攻撃は多数観測されていることが報告されています。

なお、SMSは電子メールよりもサービス提供者側やセキュリティ対策ソフトウエアによる介入が少ないことが多くて 悪意のあるSMS(悪性Webサイトへの接続の誘導など)からの利用者の保護が緩めな点や、 携帯電話番号という送付先を自動生成しやすい点もあります。悪意のあるSMSには気をつけましょう。

ページ先頭へ戻る