「二要素認証」は異なる2つの”要素”を組み合わせた認証で、「多要素認証」は、2つ以上の"要素"によって行う「認証の要素」を使った本人認証のことです。
要素は大きく分けて3つあります。
①知識要素=ID/パスワード、PINコード、秘密の質問など
②所有要素=SMS認証やアプリ認証、ICカード、ワンタイムパスワードを生成する端末など
③生体要素=顔や指紋、虹彩(目の膜)、声紋、静脈のほか、位置情報
先週説明しました「二段階認証」は、認証の段階を2回経て認証しますが、要素の数は問われません。
例えば、ID・パスワードでログインを行ったあと「秘密の質問」の答えを入力する認証方式があります。この方式では認証の段階を2つ踏むため"二段階認証"といえます。
銀行のATMは、キャッシュカードと暗証番号で認証するが、これは本人が所有するもの(キャッシュカード)を使った「所有認証」と本人しか知り得ない知識を使った(暗証番号)「知識認証」を組み合わせたものです。
「二段階認証」のなかでも、ID/パスワードで認証した後にスマホの認証アプリを組み合わせるといった、異なる方式を組み合わせるものは「二要素認証」といえかもしれません。
多要素認証の例としてスマホアプリ認証は、ユーザーが、ID/パスワード(知識要素)でログインして、スマートフォンのアプリに、1回のみ使える、ワンタイムパスワード(所有要素)が表示され、ワンタイムパスワードを該当画面に入力し、ログインが完了です。
多要素認証を取り入れれば、流出したID/パスワードで悪意の第三者がログインを試みた場合にも所有要素や生体要素での認証を要求するため、そう簡単にはログインが認証されません。多要素認証は、不正ログイン防止策として期待されているのです。