7payで有名になった二段階認証。

二段階右折など、にだんかいの場合は漢数字で書くのだろうか。

英語ではtwo step なので、二重化とは違って算用数字でもよさそうではあるが、慣習であろう。

二段階認証の英訳にtwo factorをあてている辞書がGoogle検索の上位に出てくるが、二要素と二段階は別物である。

ログイン時にID、パスワードとクイズを同時に尋ねるものがある。クイズは画像の文字を読ませたり、ヒントに従って画像を選ばせたりするものである。これは一段階で二要素を使ったログインである。

ただしこれは厳密にはクイズでは本人を特定するには至らない。そもそも入力者が人間であり、ロボットが自動でID、パスワードを入力しているのではないことを確認するもので、目的が違う。二要素ではあるが二要素認証ではない。本人が作ったロボットが本人に代わってログインを試みた場合、クイズに回答できなければ本人の求めるログインであっても失敗してしまう。

日本年金機構のねんきんねっとは、ID、パスワードを送信したあと、パスワードリマインダーのような、利用者が登録した質問と答えの組み合わせを尋ねてくる。

年金の照会なんて日常生活ではめったにしないので、ログイン頻度は通常とても低い。前回ログインから時間が経つと質問と答えの組み合わせも更新させられる。ID、パスワードだけでも大変なのに、さらに2つ覚えることを要求されると、ID、パスワード、質問と答えの4情報をどこかに書いておかなければならない。それを他人に見られたら不正ログインされてしまうのであまり意味がない。もしろセキュリティが下がっているかもしれない。

二要素というのは、二段階で尋ねることでログインに失敗するまでにかかる時間を長くすることで攻撃者のやる気を下げるという目的もあるが、それだけではない。ニ要素のうちのひとつ以上は本人の記憶に頼らなくすることも大事なのだ。

このように、セキュリティの技術の中には、ひとつの対策でいろいろないいことが得られるものがある。二段階認証はやらないよりはましなのだが、二要素の方がいいという意見がネットで多くみられるが、二段階にするだけでは不足と考えているようだ。

画面がひとつ多かったり、入力項目を増やすことがよいことだと勘違いされると困る。

かつてインターネットバンキングではやった、第二暗証番号、取引専用パスワード、暗証番号表の類は二段階認証の古典的手法のひとつだが、利便性が悪い。利便性を下げただけのシステムが流行するのは困る。

7payがどんな二段階認証方式を採用するのか、楽しみである。