2FATwo-Factor Authentication
2FA (二要素認証) は、MFA のうち2要素を使う形式の総称で、パスワード + TOTP・パスワード + SMS・パスワード + パスキーが代表的な組み合わせです。
詳細解説
2FA (Two-Factor Authentication, 二要素認証) は MFA の最低構成 (2要素) を指す呼称で、ほとんどの一般向けサービスは 2FA で実装されています。最普及は「パスワード + TOTP」で Google Authenticator・Authy・1Password 等のアプリで6桁30秒コードを生成します。「パスワード + SMS OTP」は導入が簡単な反面、SIMスワップやSS7プロトコル悪用で OTP を盗まれる事案が多発しており、NISTやFIDOアライアンスは段階的廃止を推奨しています。「パスワード + パスキー (WebAuthn)」が最も安全で、現在は Passkey 単独でパスワードレスにできる流れです。バックアップコードを別場所に保管しないとロックアウトリスクがあるため、リカバリ運用の事前設計が必要です。
実装例 / 使い方
- 01GitHub の 2FA は TOTP + リカバリーコード推奨
- 02SMS OTP は SIM スワップ事件で銀行被害が多発
- 03Apple ID は信頼済みデバイスへの通知ベース 2FA
関連する用語
MFA
Multi-Factor AuthenticationMFA (多要素認証) は、知識・所有・生体の異なる要素を2つ以上組み合わせて認証する方式で、パスワード単独より遥かに高い安全性を提供します。...
TOTP
Time-based One-Time PasswordTOTP (Time-based One-Time Password) は、共有鍵と現在時刻から HMAC で6桁ワンタイムコードを生成する方式です。RFC 6...
WebAuthn / Passkey
Web AuthenticationWebAuthn は、公開鍵暗号でフィッシング耐性のある認証を実現するW3C標準で、Passkey はその利用者向け呼称です。パスワードレス認証の主流になりつつ...
ブルートフォース攻撃
Brute Force Attackブルートフォース攻撃は、パスワードやトークンを総当たりで試行し正解を見つける攻撃で、対策はレートリミット・MFA・アカウントロック・強力なハッシュです。...
2FAを、実際に活用する
用語の意味は分かった。次は実装。EXBANK の無料診断で、貴社で具体的にどう活用できるかをご提案します。
営業時間 平日10-18時 / 通常24時間以内に返信