多要素認証に関するTips
CASについて
CAS(Central Authentication Service)はシングルサインオンサービス(※)の実装の1つであり、
名古屋大学では、CASを利用して名古屋大学ID(名大ID)とパスワードによるシングルサインオンを提供しております。
これにより、名古屋大学ポータル、NUCT、教員データベースを始めとする多数の情報サービスに
名大IDとパスワードのみで認証して利用できるようになっております。
(※) 1つのIDとパスワードで、様々な情報サービスにログインできる情報基盤技術。
近年ではIDとパスワードだけの認証では、情報セキュリティ的に十分とは言えなくなって来ています。
そのため、広く使われているOATH-TOTP規格の多要素認証(2要素認証)に対応した多要素認証CASを準備し、
順次、それぞれの情報サービスの認証を多要素認証CASに移行しています。
(注意:多要素認証を導入するシステムは複数あります)
多要素認証CASでは、名大IDとパスワードの他に、「認証コード」と呼ばれる30秒ごとに変化する6桁の数字を認証に用います(下図参照)。
この認証コードは、認証シードを登録した認証アプリ(スマホ、PC)、もしくは、ハードウェアトークンに表示された物を使います。
ハードウェアトークンは購入に公費や私費の支出を伴うため、
なるべく多くの方々に、認証アプリ(スマホ、PC)を利用する形で利用いただけると幸いです。
なお、Microsoft Autenticator(スマホ用アプリ)の利用を推奨します。
多要素認証のセットアップ方法は以下を参照して下さい。
なお、多要素認証CASの認証サーバのURLはauth-mfa.nagoya-u.ac.jpで始まる点に注意して下さい(偽CASサーバに注意)。
パスワード認証と多要素認証の認証の違い
利用IDに対してパスワードのみで認証可能な認証が「パスワード認証」であり、 パスワードに加えて、パスワードと異なる要素(時間で変化する認証コード、生体情報、秘密鍵ファイル、など)を 認証に併用するものが「多要素認証」になります。 必要とする要素数により、2要素認証、3要素認証などと呼ぶこともあります。
名古屋大学の多要素認証CASは、「認証コード」と呼ばれる30秒ごとに変化する6桁の数字を2要素目に用いる、 多要素認証(2要素認証)になります。
多要素認証に関するTips
最近では、学外の情報サービスでも多要素認証をうたう所が増えていますが、 多要素認証について誤解しているのか、認証における安全性にあまり寄与しないものに対して 「多要素認証」をうたっている事例なども見られます。
以下にいくつか事例を挙げます。 最近の認証破りは、他の情報サービスで流出したID(メールアドレス)とパスワードの流用や、 偽サイト(フィッシングサイト)に入力されたIDとパスワードの悪用などによるものが多く、 以下のような誤解した多要素認証では安全性にあまり寄与しません。
-
パスワードを2回入力する物は多要素認証ではありません。 「変化しない合言葉」という同じ要素を2回入れさせても認証の安全性はほぼ変わりません (パスワードの長さを長くするのと変わらない)。 パスワードの最低文字数を長くして1回で入力させた方がマシです。
-
「パスワードを2回入力する」の亜種として、 「秘密の質問(出身小学校は?、ペットの名前は? など)」を2要素目として 入れさせる物もありますが、答えが限定される分、 「パスワードを2回入力する」よりもさらに劣ります。
-
認証とロボット(※)避けをごちゃまぜにしている所があります。 例えば、認証の答えが同じページにあるパズル認証(自称)は、 認証の安全性に全く寄与しておらず、認証を名乗って安全性向上を誤認させる
(※) 大量の試行による認証破りなどを行うプログラム。
また、「当サービスではSMS(ショートメッセージサービス)認証のみを2要素認証に使えます」とうたって、 不必要にSMSの送信先である携帯電話番号(個人情報)を収集する事例もありますので、 そのような要求をしてくるサービスには注意しましょう。 アメリカ国立標準技術研究所(NIST)ではもう何年も前に「SMS認証は安全でない」と発表しております。 どうしても端末側で使える手段がSMS認証しか無い場合を除いて、SMS認証を使うことは好ましくありません。 既にSMS認証への攻撃は多数観測されていることが報告されています。
なお、SMSは電子メールよりもサービス提供者側やセキュリティ対策ソフトウエアによる介入が少ないことが多くて 悪意のあるSMS(悪性Webサイトへの接続の誘導など)からの利用者の保護が緩めな点や、 携帯電話番号という送付先を自動生成しやすい点もあります。悪意のあるSMSには気をつけましょう。