2要素認証で逆にセキュリティが低くなる
最近、会社で使っているoffice365のログイン時に2要素認証が導入されました。
しかし、逆にセキュリティが低くなったと思います。
何故か?それは。。。
導入された2要素認証はOffice365のログイン時に、
登録されているスマホに認証コードをショートメールで送り、そのコードを入力するというものです。
しかし、
結果的に私のパソコンのセキュリティは低くなりました。
ログインした状態を保つような設定にしてしまったからです。
「それはあんたがそんな設定にするからだろう」と思われるかもしれません。
それには、それなりの理由があります。
私は以前はセキュリティを保つためにログイン時にパスワードを保存しない設定にしていました。
私は真面目なので(笑)、面倒でしたが毎回パスワードを入力していました。
もちろん、セキュリティを高めるために利便性を犠牲にしていたわけです。
では、どうして2段階認証になってパスワードを保存してログイン状態を保つようになったのでしょうか。
それは
2要素認証が毎回のログイン時に行われるためです。
毎回、スマホに認証コードが届くのを待ち、それを確認してパソコン入力するのが面倒だということです。
面倒なだけなら、受け入れていたかもしれません。
しかし、この手順だとスマホを家に忘れたり、スマホが故障したりして認証コードが参照できない場合、ログインできなくなります。
「スマホが使えない」だけのことで全く仕事ができなくなり、
スマホを使える状態にするために奔走しなければならなります。
こんなリスクは背負いたくないと思うの普通じゃないでしょうか。
私は2要素認証について同僚にどうしているのか聞いてみました。
すると2要素認証は初回だけで毎日はしていないといいます。
そうです。
ログインした状態を保つように設定すれば2要素認証しなくていいのです。
という経緯をたどって私のパソコンもログインした状態を保つ設定にすることになったのです。
こうして2要素認証によってパソコンのセキュリティは低くなることがあるのです。
セキュリティは常に利便性とのバランスが求められます。
やり方を間違えると逆にセキュリティを低くしてしまいます。
これは2要素認証に始まったわけではありません。
パスワード認証の時代からの問題です。
複雑なパスワード、定期的な変更をシステムで強制するシステムのせいで、
パスワードを紙に書いてパソコンに貼るというようなことも同じ問題でしょう。
人が許容できない利便性の犠牲を要求するシステムに対して
人はシステムに組み込まれないかたちで利便性を確保します。
私は
2要素認証は端末の初回認証時のみ行うというあたりが、
人の許容できる利便性を保つ落としどころではないか
と思っています。
♪
