2要素認証は、種類の異なる2つの情報を組み合わせて安全性を高めた認証方式。「マルチファクター認証」などとも呼ばれる。
ここでの「要素」とは、認証に用いる情報の種類を指す。要素は大きく3つに分類できる。1つめは、ユーザーが知っていること(Something You Know、記憶情報)。パスワードや秘密の質問などが該当する。
2つめは、ユーザーが持っているもの(Something You Have、所持情報)。スマートフォン(スマホ)やハードウエアトークン、乱数表などが該当する。登録したスマホに送られてくる、短時間のみ有効なパスワード(ワンタイムパスワード)も、持っている本人にしか届かないので所持情報に分類される。
3つめは、ユーザーの身体的特性(Something You Are、生体情報)。指紋や静脈、虹彩などが該当する。
2要素認証は、これらの中から異なる2つの要素を組み合わせる。同じ種類の要素を2つ組み合わせても2要素認証にはならない。例えば、パスワードと秘密の質問を使うユーザー認証は、2つの情報を使っているものの、どちらも記憶情報なので、2要素認証ではない。所持情報または生体情報を追加すると、2要素認証になる。
オンラインサービスでよく使われる2要素認証が、記憶情報のパスワードと所持情報のワンタイムパスワードの組み合わせである(図)。
ユーザーはまず、ログイン画面でパスワードを入力して認証を行う。認証に成功すると、スマホにメールやSMS(Short Message Service)などでワンタイムパスワードが通知される。そのワンタイムパスワードをログイン画面に入力すると、ログインできる。
ユーザーが記憶するパスワードに加え、ユーザーが所持するスマホに届くワンタイムパスワードを使うため、パスワードを盗まれた場合でも、不正アクセスを防げる。
ワンタイムパスワードには、スマホなどに通知する方式のほか、ユーザーが所持するハードウエアトークンに表示する方式などがある。後者の場合、表示されるワンタイムパスワードは一定間隔で更新される。
