ひとことで言うと
二要素認証は、ログイン時に「知っているもの(パスワード)」と「持っているもの(スマホなど)」の 2 種類を組み合わせて本人を確かめる仕組みです。パスワードが漏れていても、もう一方が揃わなければ不正ログインを防げます。
たとえ話でもう少し詳しく
銀行の ATM は、キャッシュカードを持っているだけでも、暗証番号を知っているだけでもお金を引き出せません。二要素認証はこれと同じ考え方です。
- パスワード(暗証番号)だけでは不十分
- スマホアプリや SMS で届く確認コード(カード)が揃って初めてログインできる
- どちらか一方が盗まれても、もう一方がなければ入れない
パスワードが使い回しや流出で危険な状態でも、二要素認証があれば被害を大幅に抑えられます。
よく出る場面・使いどころ
- 社内システムや業務用 SaaS へのログインを強化したいとき
- メールアカウントや SNS アカウントへの不正アクセスを防ぎたいとき
- ネットバンキングや決済サービスでの本人確認
- 管理者権限を持つアカウントのセキュリティ強化
似た言葉との違い
- 認証: 「本人かどうかを確認する」行為の総称。二要素認証はその確認方法のひとつ
- 多要素認証(MFA): 2 つ以上の要素で確認する総称。二要素認証は MFA の代表例
実務で気にするポイント
- SMS 認証は SIM スワップ詐欺で突破されるケースがあり、認証アプリ(TOTP)の方がより安全
- バックアップコードは紛失時のリカバリ用として安全な場所に保管する
- 従業員全員へ義務づける場合、案内方法と例外対応のルールを先に決める
- スマホの機種変更時に認証アプリの引き継ぎを忘れると、ロックアウトされる事故が起きやすい
注意: 二要素認証を設定していても、偽サイトへ誘導して確認コードごと盗むフィッシング攻撃には効果が薄い場合があります。不審なリンクからのログイン画面には十分注意しましょう。