多要素認証
ハードウェア認証セキュリティキー

多要素認証MFA)は、二要素認証2FA)とも呼ばれ、ユーザーが2種類以上の異なる種類の証拠(または要素)を認証メカニズムに正しく提示した場合にのみ、ウェブサイトまたはアプリケーションへのアクセスを許可する電子認証方法です。MFAは、個人識別情報や金融資産などの個人データを、例えば単一のパスワードを解読できる可能性のある不正な第三者によるアクセスから保護します。

近年、MFAの利用が増加しています。MFAのバイパスを引き起こす可能性のあるセキュリティ上の問題としては、疲労攻撃フィッシングSIMスワッピングなどが挙げられます。[ 1 ]

MFAが有効になっているアカウントは、侵害される可能性が大幅に低くなります。[ 2 ]

認証要素

認証は、誰かがコンピュータリソース(コンピュータネットワーク、デバイス、アプリケーションなど)にログインしようとする際に行われます。リソースは、ユーザに対し、リソースがユーザを認識するためのIDと、そのIDに対するユーザの主張が真正であることの証拠を提供するよう求めます。単純な認証では、そのような証拠(要素)は1つだけ必要で、通常はパスワードですが、クレジットカード番号とカード認証コード(CVC)のように、同じ種類の証拠が複数必要になる場合もあります。セキュリティを強化するために、リソースは複数の要素(多要素認証、または2種類の証拠が必要な場合は2要素認証)を要求する場合があります。[ 3 ]

複数の認証要素を用いて本人確認を行うのは、権限のない者がアクセスに必要な要素をすべて提供できる可能性は低いという前提に基づいています。認証試行において、少なくとも1つの要素が欠落しているか、誤って提供されている場合、ユーザーの本人確認は十分な確実性をもって行われず、多要素認証によって保護されている資産(建物やデータなど)へのアクセスはブロックされたままとなります。多要素認証スキームの認証要素には、以下が含まれます。[ 4 ]

二要素認証の一例として、 ATMからの現金引き出しが挙げられます。この場合、物理的に存在する銀行カード(ユーザーが所有するもの)とPIN(ユーザーが知っているもの)の正しい組み合わせによってのみ、取引が実行されます。他の2つの例としては、ユーザーが管理するパスワードに加えて、ユーザーのみが所有する認証装置セキュリティトークンスマートフォンなど)によって生成または受信されるワンタイムパスワード(OTP)やコードを使用する方法があります。 [ 5 ]

認証アプリは、 SMSを送信したり他の方法を使用するのではなく、ランダムに生成され常に更新されるコードを表示することで、異なる方法で2要素認証を可能にします。 [ 6 ]このコードは時間ベースのワンタイムパスワードTOTP)であり、認証アプリにはこれらのコードの生成を可能にする鍵マテリアルが含まれています。

知識

知識要素(「ユーザーだけが知っているもの」)は認証の一形態です。この形態では、ユーザーは認証を行うために秘密を知っていることを証明する必要があります。

パスワードは、ユーザー認証に使用される秘密の単語または文字列です。これは最も一般的に使用される認証メカニズムです。[ 4 ]多くの多要素認証技術は、認証の要素の一つとしてパスワードを使用しています。パスワードには、複数の単語で構成される長いもの(パスフレーズ)と、 ATMアクセスに一般的に使用される短い数字のみのPINがあります。伝統的に、パスワードは記憶されることが想定されていますが、隠された紙やテキストファイルに書き留めることもできます。

所持

RSA SecurIDトークン、切断されたトークンジェネレータの例

所有要素(「ユーザーだけが持つもの」)は、何世紀にもわたって鍵の形で認証に利用されてきました。鍵は錠前と鍵の間で共有される秘密を体現しているという基本原理があり、コンピュータシステムにおける所有要素認証も同じ原理に基づいています。セキュリティトークンは、所有要素の一例です。

切断型トークンはクライアントコンピュータに接続しません。通常、内蔵画面に生成された認証データが表示され、ユーザーはこのデータを手動で入力します。このタイプのトークンは、ほとんどの場合、特定のセッションでのみ使用できるワンタイムパスワード(OTP)を使用します。 [ 7 ]

USBセキュリティトークン

コネクテッドトークンとは、使用するコンピュータに物理的に接続されるデバイスです。これらのデバイスはデータを自動的に送信します。 [ 8 ] USBトークン、スマートカード無線タグなど、様々な種類があります。[ 8 ] FIDOアライアンスワールドワイドウェブコンソーシアム(W3C)がサポートするFIDO2対応トークンは、 2015年以降、主流のブラウザでサポートされるようになり、ますます普及しています。

ソフトウェアトークン(別名ソフトトークン)は、コンピュータサービスの利用を承認するために使用できる2要素認証セキュリティデバイスの一種です。ソフトウェアトークンは、デスクトップコンピュータラップトップPDA携帯電話などの汎用電子デバイスに保存され、複製が可能です。(ハードウェアトークンとは対照的に、ハードウェアトークンは認証情報が専用のハードウェアデバイスに保存されるため、デバイスへの物理的な侵入がない限り複製できません)。ソフトトークンは、ユーザーが実際に操作するデバイスではない場合があります。通常、この目的のためにX.509v3証明書がデバイスに読み込まれ、安全に保存されます。

多要素認証は、物理セキュリティシステムにも適用できます。これらの物理セキュリティシステムは、一般的にアクセス制御と呼ばれています。多要素認証は、通常、アクセス制御システムで、まず物理的な所持品(フォブ、キーカード、デバイスに表示されるQRコードなど)を識別情報として利用し、次に顔認証や網膜スキャンなどの本人確認を行うという方法で導入されます。この形式の多要素認証は、一般的に顔照合または顔認証と呼ばれます。

固有の

固有要素(「ユーザー自身」)は、ユーザーに関連付けられた要素であり、通常は指紋[ 9 ]音声虹彩認証などの生体認証手法が用いられる。キーストロークダイナミクスなどの行動生体認証も利用可能である。

位置

ユーザーの物理的な所在地に関わる第4の要素がますます重要になっています。企業ネットワークに有線接続されている場合、ユーザーはPINコードのみでログインできます。一方、ユーザーがネットワークに接続していない、またはリモートで作業している場合は、ソフトトークンからのコード入力など、より安全なMFA方式が必要になる場合があります。ユーザーの所在地に合わせてMFA方式の種類と頻度を調整することで、リモートワークに共通するリスクを回避できます。[ 10 ]

ネットワークアドミッションコントロールシステムも同様の仕組みで動作し、デバイスが接続されているネットワーク(Wi-Fiと有線接続など)に応じてネットワークアクセスレベルを制御できます。これにより、ユーザーがオフィス間を移動しても、各オフィスで同じレベルのネットワークアクセスを動的に利用できるようになります。

携帯電話ベースの認証

ワンタイムパスワードを表示する携帯電話ベースの認証の例

テキストメッセージによる二要素認証は、AT&Tが双方向ポケベルによるコード交換に基づいて取引を承認するシステムを説明した1996年に早くも開発されました。[ 11 ] [ 12 ]

多くの多要素認証ベンダーは、携帯電話ベースの認証を提供しています。プッシュ認証、QRコード認証、ワンタイムパスワード認証(イベントベースおよび時間ベース)、SMS認証など、様々な認証方式があります。SMS認証にはセキュリティ上の懸念があります。携帯電話の複製、複数の携帯電話でのアプリ実行、携帯電話の保守担当者によるSMSテキストの読み取りなどが考えられます。さらに、携帯電話は一般的に不正アクセスされる可能性があり、もはやユーザーだけが所有するものではなくなってしまいます。

ユーザーが所有する何かを含む認証の主な欠点は、ユーザーが物理的なトークン(USBメモリ、銀行カード、鍵など)を事実上常に持ち歩かなければならないことです。紛失や盗難のリスクがあります。多くの組織では、マルウェアやデータ盗難のリスクから、USBデバイスや電子機器の持ち込みを禁止しており、同様の理由から、ほとんどの重要なマシンにはUSBポートが搭載されていません。物理的なトークンは通常、拡張性がなく、新しいアカウントやシステムごとに新しいトークンが必要になります。この種のトークンの調達と交換にはコストがかかります。さらに、使いやすさとセキュリティの間には、本質的な矛盾と避けられないトレードオフが存在します。[ 13 ]

携帯電話スマートフォンを用いた二段階認証は、専用の物理デバイスに代わる選択肢となります。認証には、デバイスへの個人アクセスコード(つまり、本人のみが知っているコード)と、通常4~6桁の1回限り有効な動的パスコードを使用します。パスコードは、SMS [ 3 ]でモバイルデバイスに送信するか、ワンタイムパスコード生成アプリで生成することができます。どちらの場合も、携帯電話を使用する利点は、ユーザーがモバイルデバイスを常に持ち歩く傾向があるため、追加の専用トークンが不要であることです。

SMS認証の人気にもかかわらず、セキュリティ擁護者はSMS認証を公然と批判しており[ 14 ]、2016年7月には米国NISTのガイドライン草案で認証方法としてSMS認証を非推奨とすることが提案された[ 15 ] 。 1年後、NISTは最終版ガイドラインでSMS認証を有効な認証チャネルとして復活させた[ 16 ] 。

Duo Securityは2011年にはモバイルアプリ経由でMFAのプッシュ通知を提供していました。 [ 17 ] 2016年と2017年には、GoogleとAppleの両社が代替手段としてプッシュ通知による2段階認証の提供を開始しました。[ 4 ] [ 18 ] [ 19 ]

モバイル配信セキュリティトークンのセキュリティは、モバイルオペレータの運用セキュリティに完全に依存しており、国家安全保障機関による盗聴やSIM複製によって簡単に侵害される可能性があります。 [ 20 ]

利点:

  • 常に持ち運ばれるモバイルデバイスを使用するため、追加のトークンは必要ありません。
  • 動的に生成されるパスコードは常に変更されるため、固定 (静的) のログイン情報よりも安全に使用できます。
  • ソリューションによっては、有効なコードが常に使用可能であることを保証するために、使用されたパスコードが自動的に置き換えられるため、送信/受信の問題によってログインが妨げられることはありません。

デメリット:

  • ユーザーは依然としてフィッシング攻撃の標的となる可能性があります。攻撃者は、実際のウェブサイトと全く同じように見える偽のウェブサイトへのリンクを記載したテキストメッセージを送信し、認証コード、ユーザー名、パスワードを入手します。[ 21 ]
  • 携帯電話は常に利用できるとは限りません。紛失したり、盗難にあったり、電池が切れたり、その他の理由で動作しなくなる可能性もあります。
  • 人気が高まっているにもかかわらず、一部のユーザーはモバイル デバイスを所有しておらず、自宅の PC で一部のサービスを使用する条件としてモバイル デバイスを所有する必要があることに憤慨している可能性があります。
  • 携帯電話の受信は常に利用できるとは限らず、特に町の外の広い地域では電波が届きません。
  • SIMの複製は、ハッカーに携帯電話の接続へのアクセスを提供します。携帯電話事業者に対するソーシャルエンジニアリング攻撃により、複製されたSIMカードが犯罪者に渡されるケースも発生しています。[ 22 ]
  • SMSを用いた携帯電話へのテキストメッセージは安全性が低く、 IMSIキャッチャーによって傍受される可能性があります。そのため、第三者がトークンを盗み、使用することが可能となります。[ 23 ]
  • アカウント回復では通常、携帯電話の2要素認証を回避します。[ 3 ]
  • 現代のスマートフォンは、メールとSMSの両方の受信に使用されています。そのため、スマートフォンが紛失または盗難に遭い、パスワードや生体認証で保護されていない場合、スマートフォンは第二段階の認証を受信できるため、メールをキーとするすべてのアカウントがハッキングされる可能性があります。
  • 携帯電話会社がユーザーにメッセージ料金を請求する場合があります。

法律と規制

ペイメントカード業界(PCI)データセキュリティ基準の要件8.3では、ネットワーク外部からカードデータ環境(CDE)へのすべてのリモートネットワークアクセスにMFAの使用が義務付けられています。[ 24 ] PCI-DSSバージョン3.2以降では、ユーザーが信頼できるネットワーク内にいる場合でも、CDEへのすべての管理アクセスにMFAの使用が義務付けられています。

欧州連合

第2次決済サービス指令では、 2019年9月14日以降、欧州経済領域内のほとんどの電子決済において「強力な顧客認証」が義務付けられています。 [ 25 ]

インド

インドでは、インド準備銀行がデビットカードまたはクレジットカードを使ったすべてのオンライン取引に、パスワードまたはSMSで送信されるワンタイムパスワードによる二要素認証を義務付けました。この要件は、発行銀行でオプトインした後、2,000ルピーまでの取引については2016年に削除されました。[ 26 ] Uberなどのベンダーは、この二要素認証の導入に合わせて決済処理システムを修正するよう、銀行から義務付けられています。[ 27 ] [ 28 ] [ 29 ]

アメリカ合衆国

米国の連邦政府職員および請負業者の認証の詳細は、国土安全保障大統領指令12(HSPD-12)に規定されている。[ 30 ]

連邦政府システムへのアクセスに関するIT規制基準では、機密性の高いITリソースにアクセスするために多要素認証の使用が義務付けられており、例えば、ネットワークデバイスにログオンして管理タスクを実行する場合[ 31 ]や、特権ログインを使用して任意のコンピュータにアクセスする場合などです。[ 32 ]

NIST特別出版物800-63-3では、様々な形式の2要素認証について説明し、異なるレベルの保証を必要とするビジネスプロセスでそれらを使用するためのガイダンスを提供しています。[ 33 ]

2005年、米国連邦金融機関検査評議会(FFIEC)は金融機関向けのガイダンスを発行し、金融機関に対し、リスクベースの評価を実施し、顧客意識向上プログラムを評価し、オンライン金融サービスをリモートアクセスする顧客を確実に認証するためのセキュリティ対策を開発することを推奨しました。また、ユーザーの身元を特定するために、複数の要素(具体的には、ユーザーが知っていること、所有していること、そしてユーザー自身)に依存する認証方法の使用を公式に推奨しました。[ 34 ]この発行を受けて、多くの認証ベンダーが、チャレンジ質問、秘密画像、その他の知識ベースの認証方法を「多要素」認証として不適切に宣伝し始めました。その結果生じた混乱とこうした認証方法の広範な採用を受けて、2006年8月15日、FFIECは補足ガイドラインを発行しました。このガイドラインでは、「真の」多要素認証システムは、定義上、定義した3つの認証要素のそれぞれ異なるインスタンスを使用する必要があり、単一の要素を複数回使用するだけでは不十分であると規定されています。[ 35 ]

この方法の信頼性を考慮し、一部の国では、医療などの特定の業界では機密情報の盗難を防ぐため、MFAが義務付けられています。例えば米国では、カリフォルニア州消費者プライバシー法(CCPA)医療保険の携行性と責任に関する法律(HIPAA)の両方で、個人データと医療データの保護に関する基準が定められており、安全なアクセスと規制遵守を確保するために多要素認証の実装を支援する規定も含まれています。

セキュリティ上の弱点

支持者によると、多要素認証は、被害者のパスワードだけでは犯人が情報に永久にアクセスできなくなるため、オンライン個人情報盗難やその他のオンライン詐欺の発生率を大幅に減らすことができるという。しかし、多くの多要素認証アプローチは、フィッシング攻撃[ 36 ] 、ブラウザ内攻撃中間者攻撃に対して脆弱である。[ 37 ] Webアプリケーションにおける2要素認証は、特にSMSや電子メールでのフィッシング攻撃を受けやすく、その対策として、多くの専門家はユーザーに確認コードを誰とも共有しないようアドバイスしており、[ 38 ]多くのWebアプリケーションプロバイダーは、コードを含む電子メールやSMSに注意喚起を掲載する。[ 39 ]

多要素認証は、ATMスキミング、フィッシング、マルウェアなどの現代の脅威に対しては効果がない可能性があります[ 40 ] 。 [ 41 ]

2017年5月、ドイツのモバイルサービスプロバイダーであるO2テレフォニカは、サイバー犯罪者がSS7の脆弱性を悪用してSMSベースの2段階認証を回避し、ユーザーの銀行口座から不正に引き出しを行っていたことを確認しました。犯罪者はまず、口座保有者のコンピュータに感染し、銀行口座の認証情報と電話番号を盗もうとしました。次に、攻撃者は偽の通信プロバイダーへのアクセス権を購入し、被害者の電話番号から攻撃者が管理する携帯電話へのリダイレクトを設定しました。最後に、攻撃者は被害者のオンライン銀行口座にログインし、口座の資金を犯罪者が所有する口座に引き出すように要求しました。SMSパスコードは攻撃者が管理する電話番号にルーティングされ、犯罪者は資金を送金しました。[ 42 ]

疲労発作

MFA を破るためのますます一般的なアプローチは、ユーザーにログインを受け入れるように要求を大量に送りつけ、最終的にユーザーが大量の要求に屈して 1 つを受け入れるまで続けるというものです。[ 43 ]これは多要素認証疲労攻撃 (MFA 疲労攻撃または MFA 爆撃とも呼ばれる) と呼ばれ、ソーシャルエンジニアリングを利用します。[ 44 ] [ 45 ] [ 46 ] MFA アプリケーションがエンドユーザーにプッシュ通知を送信するように設定されている場合、攻撃者はユーザーが少なくとも 1 回は受け入れるをクリックすることを期待して、大量のログイン試行を送信できます。[ 44 ]

2022年にマイクロソフトは認証アプリでMFA疲労攻撃に対する緩和策を導入しました。[ 47 ]

2022年9月、UberのセキュリティはLapsus$のメンバーによる多要素疲労攻撃によって侵害された。[ 48 ] [ 49 ] 2024年初頭、Appleの「パスワードを忘れた場合」ページでレート制限とキャプチャを回避したハッカーによって引き起こされたMFA疲労攻撃を、少数のAppleユーザーが経験した。

実装

多くの多要素認証製品では、多要素認証システムを動作させるためにユーザーがクライアントソフトウェアを導入する必要があります。一部のベンダーは、ネットワークログイン、Webアクセス資格情報VPN接続資格情報ごとに個別のインストールパッケージを作成しています。このような製品では、トークンまたはスマートカードを利用するために、クライアントPCにプッシュダウンするソフトウェアパッケージが4つまたは5つある場合があります。これは、バージョン管理を実行する必要があるパッケージが4つまたは5つ、業務アプリケーションとの競合をチェックするパッケージが4つまたは5つあることを意味します。Webページを使用してアクセスを操作できる場合は、上記のオーバーヘッドを1つのアプリケーションに限定することができます。ハードウェアトークン製品などの他の多要素認証技術では、エンドユーザーがソフトウェアをインストールする必要はありません。いくつかの研究では、MFA回復手順の実装が不十分だと、攻撃者が悪用する可能性のある新たな脆弱性が生じる可能性があることが示されています。[ 50 ]

多要素認証には、多くのアプローチが普及するのを妨げている欠点があります。ユーザーによっては、ハードウェア トークンや USB プラグを把握するのが難しい場合があります。また、多くのユーザーには、クライアント側のソフトウェア証明書を自分でインストールするために必要な技術的スキルがありません。一般的に、多要素ソリューションは、実装に追加投資とメンテナンス コストが必要です。ほとんどのハードウェア トークン ベースのシステムは独自のものであり、一部のベンダーはユーザーごとに年間使用料を請求します。ハードウェア トークンの導入は、ロジスティクス的に困難です。ハードウェアトークンは破損または紛失する可能性があり、銀行などの大規模な業界や大企業内でのトークンの発行には管理が必要です。導入コストに加えて、多要素認証には多くの場合、かなりの追加のサポート コストがかかります。Credit Union Journalが2008 年に120 を超える米国の信用組合を対象に実施した調査[ 51 ]では、2 要素認証に関連するサポート コストが報告されています。

多要素認証スキームの導入に関する研究[ 52 ]によると、このようなシステムの採用に影響を与える傾向にある要素の 1 つは、多要素認証システムを導入する組織の事業内容であることが示されています。例としては、(それ自体が堅牢な公開鍵インフラストラクチャによって裏付けられている)物理的なトークンの複雑なシステムを採用している米国政府や、顧客所有のスマートフォンにインストールされたアプリなど、よりアクセスしやすく安価な本人確認手段を伴う多要素認証スキームを顧客に対して好む傾向がある民間銀行などがあります。組織が選択しなければならない利用可能なシステムにはさまざまなものがありますが、多要素認証システムが組織内に一度導入されると、ユーザーは必然的にシステムの存在と使用に慣れ、関連する情報システムとの日常的なやり取りのプロセスの標準化された要素として時間の経過とともに受け入れるため、システムはそのまま残る傾向があります。

多要素認証は完璧なセキュリティの範囲内であるという認識があるが、ロジャー・グライムズは[ 53 ]、適切に実装および構成されていない場合、多要素認証は実際には簡単に破られる可能性があると書いている。

特許

2013年、キム・ドットコムは2000年の特許で二要素認証を発明したと主張し[ 54 ]、主要なウェブサービス全てを訴えると一時脅迫した。しかし、欧州特許庁は、 AT&Tが1998年に取得した米国特許[ 56 ]を理由に、ドットコムの特許を取り消した[ 55 ] 。

参照

参考文献

  1. ^ラッセル、スティーブ (2023年2月22日). 「多要素認証のバイパス」 . ITNOW . 65 (1): 42– 45. doi : 10.1093/combul/bwad023 . ISSN  1746-5702 .
  2. ^ Meyer, LA; Romero, S.; Bertoli, G.; Burt, T.; Weinert, A.; Ferres, JL (2023). 「多要素認証はサイバー攻撃の抑止にどれほど効果的か?」arXiv : 2305.00945 [ cs.CR ].
  3. ^ a b c「2要素認証:知っておくべきこと(FAQ) - CNET」CNET . 2020年2月12日時点のオリジナルよりアーカイブ2015年10月31日閲覧
  4. ^ a b c Jacomme, Charlie; Kremer, Steve (2021年2月1日). 「多要素認証プロトコルの広範な形式分析」 . ACM Transactions on Privacy and Security . 24 (2). ニューヨーク市: Association for Computing Machinery: 1– 34. doi : 10.1145/3440712 . ISSN 2471-2566 . S2CID 231791299. 2023年8月3日時点のオリジナルよりアーカイブ2021年2月27日閲覧  
  5. ^ kaitlin.boeckl@nist.gov (2016年6月28日). 「基本に立ち返る:多要素認証(MFA)」 . NIST . 2021年4月6日時点のオリジナルよりアーカイブ。 2021年4月6日閲覧
  6. ^バレット、ブライアン(2018年7月22日)「2要素認証を強化してアカウントを保護する方法」Wired2020年9月7日時点のオリジナルよりアーカイブ2020年9月12日閲覧
  7. ^ 「ワンタイムパスワードの設定」 www.sonicwall.com Sonic Wall. 2022年1月19日時点のオリジナルよりアーカイブ。 2022年1月19日閲覧
  8. ^ a b van Tilborg, Henk CA; Jajodia, Sushil編 (2011). Encyclopedia of Cryptography and Security, Volume 1 . ベルリン, ドイツ: Springer Science & Business Media . p. 1305. ISBN 9781441959058
  9. ^ Cao, Liling; Ge, Wancheng (2015-03-10). 「多要素生体認証スキームの分析と改善:MFBAスキームの分析と改善」 .セキュリティと通信ネットワーク. 8 (4): 617– 625. doi : 10.1002/sec.1010 . 2022年11月25日時点のオリジナルよりアーカイブ。 2022年3月20日閲覧
  10. ^ 「在宅勤務中にActive Directoryを保護するための11のヒント」www.darkreading.com2024年8月29日時点のオリジナル記事よりアーカイブ2024年8月29日閲覧
  11. ^ 「キム・ドットコムはオリジナルの『2要素』ログイン特許を保有しているのか?」ガーディアン2013年5月23日. 2022年11月2日時点のオリジナルよりアーカイブ2022年11月2日閲覧。
  12. ^ EP 0745961、「取引承認および警告システム」、1996年12月4日発行 
  13. ^ Wang, Ding; He, Debiao; Wang, Ping; Chu, Chao-Hsien (2014). 「分散システムにおける匿名2要素認証:達成不可能な目標もある」(PDF) . IEEE Transactions on Dependable and Secure Computing . ピスカタウェイ、ニュージャージー州:電気電子学会. 2017年5月17日時点のオリジナルよりアーカイブ(PDF) . 2018年3月23日閲覧
  14. ^ Andy Greenberg (2016年6月26日). 「2要素認証にテキストメッセージを使うのはやめましょう」 . Wired . 2018年5月13日時点のオリジナルよりアーカイブ。 2018年5月12日閲覧
  15. ^ 「NISTはSMSを使用した2要素認証を推奨しなくなった」 Schneier on Security、2016年8月3日。2017年12月1日時点のオリジナルよりアーカイブ2017年11月30日閲覧。
  16. ^ 「ロールバック!米国NISTは「2FAにおけるSMSの非推奨」を推奨しなくなった」. 2017年7月6日.オリジナルより2019年7月2日時点のアーカイブ。2019年5月21日閲覧。
  17. ^ 「Duo Security - 機能」 .インターネットアーカイブ. 2011年6月28日時点のオリジナルよりアーカイブ。 2011年6月28日閲覧
  18. ^ Tung, Liam. 「Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to accept Gmail sign-in」 . ZD Net . 2017年8月31日時点のオリジナルよりアーカイブ。 2017年9月11日閲覧
  19. ^ Chance Miller (2017年2月25日). 「Apple、iOS 10.3のリリースを予告」 . 9to5 Mac . 2017年9月11日時点のオリジナルよりアーカイブ。 2017年9月11日閲覧
  20. ^ 「ロシアのメッセージングアプリ傍受の取り組み – bellingcat」bellingcat . 2016年4月30日. 2016年4月30日時点のオリジナルよりアーカイブ。 2016年4月30日閲覧
  21. ^ Kan, Michael (2019年3月7日). 「Google: 2段階認証を破るフィッシング攻撃が増加中」 . PC Mag . 2019年3月8日時点のオリジナルよりアーカイブ。 2019年9月9日閲覧
  22. ^ニコルズ、ショーン(2017年7月10日)「二要素認証の失敗:AT&Tがハッカーの策略に引っかかった後、男が乗っ取られる」 . The Register . 2017年7月11日時点のオリジナルよりアーカイブ。 2017年7月11日閲覧
  23. ^ Toorani, Mohsen; Beheshti, A. (2008). 「SSMS - モバイル決済システム向けの安全なSMSメッセージングプロトコル」. 2008 IEEE Symposium on Computers and Communications . pp.  700– 705. arXiv : 1002.3171 . doi : 10.1109/ISCC.2008.4625610 . ISBN 978-1-4244-2702-4. S2CID  5066992 .
  24. ^ 「PCIセキュリティ標準協議会公式サイト - PCIコンプライアンスの確認、データセキュリティおよびクレジットカードセキュリティ標準のダウンロード」 www.pcisecuritystandards.org 2021年12月27日時点のオリジナルよりアーカイブ。 2016年7月25日閲覧
  25. ^ 2017年11月27日の欧州委員会委任規則(EU)2018/389、強力な顧客認証および共通かつ安全なオープン通信規格に関する規制技術基準に関する欧州議会および理事会の指令(EU)2015/2366を補足する(EEA関連のテキスト)、2018年3月13日2021年4月6日取得
  26. ^ Karnik, Madhura (2016年12月7日). 「ついにインド人は面倒なワンタイムパスワードなしでオンラインでクレジットカードを使えるようになった。ただし、2,000ルピー以下の購入に限られる」 . Quartz . 2023年12月10日時点のオリジナルよりアーカイブ。 2023年12月10日閲覧
  27. ^ Agarwal, Surabhi (2016年12月7日). 「決済会社は、少額取引における二要素認証の免除に向けたRBIの動きを称賛」 . The Economic Times . 2020年9月14日時点のオリジナルよりアーカイブ。 2020年6月28日閲覧
  28. ^ Nair, Vishwanath (2016年12月6日). 「RBI、2,000ルピーまでのオンラインカード取引の2要素認証を緩和」 Livemint . 2020年6月28日時点のオリジナルよりアーカイブ。 2020年6月28日閲覧
  29. ^ 「Uberはインドの2要素認証要件に準拠、不要かつ煩わしいと主張」 VentureBeat . 2014年11月30日. 2021年9月5日時点のオリジナルよりアーカイブ。 2021年9月5日閲覧
  30. ^ 「国土安全保障に関する大統領指令12」国土安全保障省。2008年8月1日。2012年9月16日時点のオリジナルよりアーカイブ
  31. ^ 「SANS Institute、『Critical Control 10: ファイアウォール、ルーター、スイッチなどのネットワークデバイスの安全な構成』」2013年1月28日時点のオリジナルよりアーカイブ。 2013年2月11日閲覧
  32. ^ 「SANS Institute, Critical Control 12: Controlled Use of Administrative Privileges」2013年1月28日時点のオリジナルよりアーカイブ2013年2月11日閲覧。
  33. ^ 「デジタルアイデンティティガイドライン」。NIST特別出版物800-63-3。NIST。2017年6月22日。2017年11月21日時点のオリジナルよりアーカイブ2018年2月2日閲覧。
  34. ^ 「FFIECプレスリリース」 2005年10月12日。2011年6月2日時点のオリジナルよりアーカイブ2011年5月13日閲覧。
  35. ^ 「インターネットバンキング環境における認証に関するFFIECガイダンスに関するよくある質問」(PDF) FFIEC. 2006年8月15日. 2012年11月15日時点のオリジナルよりアーカイブ(PDF) .
  36. ^ブライアン・クレブス (2006年7月10日). 「セキュリティ修正 - シティバンクのフィッシング詐欺が2要素認証を偽装」 .ワシントン・ポスト. 2011年7月3日時点のオリジナルよりアーカイブ。 2016年9月20日閲覧
  37. ^ Bruce Schneier (2005年3月). 「二要素認証の失敗」 . Schneier on Security . 2016年12月20日時点のオリジナルよりアーカイブ。 2016年9月20日閲覧
  38. ^ Alex Perekalin (2018年5月). 「なぜ確認コードを誰にも送ってはいけないのか」 . Kaspersky . 2020年10月20日時点のオリジナルよりアーカイブ。 2020年10月17日閲覧
  39. ^ Siadati, Hossein; Nguyen, Toan; Gupta, Payas; Jakobsson, Markus; Memon, Nasir (2017). 「SMSに気を付けて:二要素認証におけるソーシャルエンジニアリングの軽減」 . Computers & Security . 65 : 14–28 . doi : 10.1016/j.cose.2016.09.009 . S2CID 10821943 . 
  40. ^ Shankland, Stephen. 「2要素認証?メールや銀行へのログインは期待するほど安全ではない」CNET . 2020年9月27日時点のオリジナルよりアーカイブ2020年9月27日閲覧
  41. ^ 「二要素認証の失敗 - シュナイアーのセキュリティ論」schneier.com 2012年2月6日。2016年6月23日時点のオリジナルよりアーカイブ。 2015年10月23日閲覧
  42. ^ Khandelwal, Swati. 「現実世界のSS7攻撃 - ハッカーが銀行口座から金を盗んでいる」 The Hacker News . 2017年5月6日時点のオリジナルよりアーカイブ。 2017年5月5日閲覧
  43. ^ 「MFA疲労:注目を集める侵害におけるハッカーの新たな常套手段」 BleepingComputer . 2023年6月27日時点のオリジナルよりアーカイブ。 2023年8月12日閲覧
  44. ^ a b「MFA疲労:注目を集める侵害におけるハッカーの新たな常套手段」 BleepingComputer . 2023年6月27日時点のオリジナルよりアーカイブ。 2023年1月26日閲覧
  45. ^ Burt, Jeff. 「多要素認証の疲労がセキュリティを脅かす」 www.theregister.com . 2023年1月26日時点のオリジナルよりアーカイブ。 2023年1月26日閲覧
  46. ^ Constantin, Lucian (2022年9月22日). 「多要素認証疲労攻撃が増加している:その対策方法」 . CSO Online . 2023年1月26日時点のオリジナルよりアーカイブ。 2023年1月26日閲覧
  47. ^ Tung, Liam. 「Microsoft Authenticator、MFAへのスパム攻撃を阻止する機能を追加」 ZDNET 2023年1月26日時点のオリジナルよりアーカイブ2023年1月26日閲覧
  48. ^ Whittaker, Zack (2022年9月19日). 「Uberの新たなハッキングをどう阻止するか?」 TechCrunch . 2023年8月24日時点のオリジナルよりアーカイブ。 2023年8月24日閲覧
  49. ^ Hardcastle, Jessica Lyons (2022年9月19日). 「Uberが今月どのように乗っ取られたのか説明、Lapsus$ギャングを非難」The Register .オリジナルより2023年8月24日アーカイブ2023年8月24日閲覧
  50. ^アムフト、S.ヘルターヴェンホフ、S.フアマン、N.クラウス、A.シムコ、L.アカール、Y.ファール、S. (2023)。 」「MFAを無効にしました」:多要素認証回復展開のセキュリティと使いやすさの評価。arXiv :2306.09708 [ cs.CR ]。
  51. ^ 「研究により、多要素コストと影響に新たな光が当てられる」 2008年4月4日。2011年7月8日時点のオリジナルよりアーカイブ
  52. ^ Libicki, Martin C.; Balkovich, Edward; Jackson, Brian A.; Rudavsky, Rena; Webb, Katharine (2011). 「多要素認証の採用への影響」オリジナルより2018年10月14日アーカイブ。 2018年10月7日閲覧
  53. ^ 「Hacking Multifactor Authentication | Wiley」 . Wiley.com . 2021年10月4日時点のオリジナルよりアーカイブ2020年12月17日閲覧。
  54. ^ US 6078908、シュミッツ、キム、「データ伝送システムにおける認証方法」 
  55. ^ Brodkin, Jon (2013年5月23日). 「キム・ドットコムは2要素認証を発明したと主張するが、最初ではなかった」 . Ars Technica . 2019年7月9日時点のオリジナルよりアーカイブ。 2019年7月25日閲覧
  56. ^ US 5708422、Blonder他、「取引承認および警告システム」 

さらに読む

「 https://en.wikipedia.org/w/index.php?title=Multi-factor_authentication&oldid=1333238855」より取得