不正ログインなどのセキュリティ対策として、二要素認証システムの導入は非常に有効です。しかし、二要素認証の方式はいろいろと存在し、どの方式を採用するかは課題となります。本ブログでは、簡単に構成できるPC/サーバー操作録画システム”Ekran”の二要素認証機能をご紹介します。
PC/サーバー操作録画システム”Ekran”
Ekran は、PCやサーバーでのユーザーの操作画面をそのまま画像で記録します。ログインすると記録を開始し、ログアウトで記録を終了します。オプション機能として二段階認証プロセスの仕組みを有しており、ログイン時にユーザー名/パスワードに追加して認証させることが可能です。
二要素認証
Windows マシンにログインする場合、ユーザー名とパスワードを入力して認証します。しかし、パスワードが第三者に知られてしまったり、総当たり攻撃などで漏えいしてしまうリスクがあります。
そこで、セキュリティ強化やコンプライアンス・監査の側面から、二要素認証の導入が進んでいます。
二要素認証とは?
- ユーザーだけが知っている!
- ユーザーだけが所有している!
- ユーザー自身の特性!
上記の3つの要素から2つを認証として通す仕組みです。
二要素認証方式の代表例として、ハードウェアトークン・乱数表や生体認証があります。
物理的なデバイスのハードウェアトークンや乱数表は、紛失や盗難による不正ログインのリスクがあります。生体認証の代表は指紋認証ですが、SNSに掲載された写真から指紋がスキャンされるというケースもでています。このように、二要素認証はセキュリティの強化では有効ですが、デメリットもあります。ここでは、専用のハードウェアが不要で、スマートフォン等があれば簡単にワンタイムパスワードが生成できるソフトウェアトークン認証について説明します。
ソフトウエアトークン認証
ソフトウェアトークンは、スマートフォンやパソコン等の画面上にワンタイムパスワードを表示させるアプリケーションです。スマートフォン等で生成された時間ベースのワンタイムパスワードで、30秒ごとに変化する6桁のコードです。ユーザー名とパスワードによる「ユーザーだけが知っていること」に加えて、時間ベースのワンタイムパスワードによる「ユーザーだけが所有しているもの」を認証に使うことで、二段階認証のプロセスを実現します。
Ekran の二要素認証フロー
Ekran の管理ツールでソフトウェアトークン用キー(秘密鍵)を生成し、スマートフォン等のアプリケーションでキーを入力して利用できます。Ekran での二要素認証のフローは、次の通りです。
Ekran は、他にもAdministrator などの共有アカウントでログインした場合、一意のユーザー名とパスワードで強制的に認証する機能(二次認証)も用意しております。是非とも、お試しください。