✨ 認証の3つの要素:「知識」「所持」「生体」
「あなたが本人であることを証明する」方法は大きく3種類に分類されます。セキュリティの世界では「認証の3要素」と呼びます。
🧠
知識要素(SYK)
あなたが「知っていること」
パスワード、PIN、秘密の質問
📱
所持要素(SYH)
あなたが「持っているもの」
スマホ、物理セキュリティキー、ICカード
👆
生体要素(SYA)
あなた「自身の特徴」
指紋、顔認識、虹彩
多要素認証(MFA)とは、これらのうち2種類以上を組み合わせて認証する方式です。「パスワード(知識)+スマホのOTP(所持)」の組み合わせが最も一般的な2段階認証(2FA)です。
パスワードだけじゃダメなの?
「知識」だけでは盗まれるリスクがあるね。フィッシング詐欺・マルウェア・データ流出でパスワードが漏れても、スマホ(所持)がないと入れない2FAがあれば被害を防げる確率が格段に上がるんだよ🐾
🔸 ワンタイムパスワード(OTP)の仕組み
スマホの認証アプリ(Google Authenticator・Authyなど)に表示される6桁の数字がTOTP(Time-based One-Time Password)です。
💡 TOTPの仕組み(RFC 6238)
- サービスとスマホが「シークレットキー(共有秘密鍵)」を事前に共有(QRコードスキャン時)
- 現在の時刻(UNIXタイムスタンプを30秒単位に切り捨てた値)を入力に使う
- HMAC-SHA1(または SHA-256)でシークレットキーと時刻から6桁を計算
- 30秒ごとに新しい6桁が生成される
- サーバーも同じ計算で照合。一致すれば認証成功
ポイントは「30秒ごとに変わる使い捨て」という点。万一盗まれても30秒後には無効になり、インターネット通信も必要としません(オフラインで動作)。
🔸 パスキー(Passkey):パスワードのない未来
2022年〜2023年にApple・Google・Microsoftが共同で推進し始めたパスキー(Passkey)は、パスワードを完全になくす認証技術です。
仕組みはSSHの公開鍵認証と同じ原理です:
- デバイスに秘密鍵(Face ID・指紋で保護)が保存される
- サービスには公開鍵だけが登録される
- ログイン時は「デバイスが秘密鍵で署名」→「サービスが公開鍵で検証」
- パスワードがネットワークに流れることがない→フィッシング詐欺が原理的に不可能
📱 パスキーに対応しているサービス(2026年時点)
Apple ID・Google・Microsoft・Amazon・PayPal・GitHub・多くの金融機関など。対応サービスは急速に増加中。
🔸 認証方式の比較
| 認証方式 | フィッシング耐性 | 使いやすさ | 安全性 |
|---|---|---|---|
| パスワードのみ | ❌ なし | ◎ | 低 |
| パスワード + SMS認証 | △ 弱い | ○ | 中 |
| パスワード + TOTP | △ 一部耐性 | △ | 高 |
| パスキー(FIDO2) | ✅ 強い | ◎ | 最高 |
| 物理セキュリティキー(YubiKey) | ✅ 最強 | △(物理デバイス必要) | 最高 |
📌 まとめ
- 認証の3要素は「知識(パスワード)」「所持(スマホ等)」「生体(指紋等)」
- 2種類以上を組み合わせた多要素認証(MFA)が現代のセキュリティ基準
- TOTPは30秒ごとに変わる使い捨てパスワード。オフラインで動作し安全
- パスキー(FIDO2)はパスワード不要の次世代認証。フィッシングに強く使いやすい
- SMS認証はSIMスワッピング攻撃に弱く、TOTPやパスキーの方が安全
- 暗号資産口座には必ずTOTP(認証アプリ)かパスキーを設定しよう