多要素認証 とは？

3つの標準的な認証要素は「知識」（パスワード、PIN）、「所持」（スマートフォン、ハードウェアトークン、スマートカード）、「生体」（指紋、顔認証）です。MFAはこれらのカテゴリのうち少なくとも2つからのクレデンシャルを要求するため、単一の要素を侵害しただけでは攻撃者がアクセスを得るには不十分です。パスワードが盗まれてもハードウェアトークンがなければ無意味であり、スマートフォンが盗まれてもPINがなければ無意味です。

最も一般的なMFA実装は、パスワードと認証アプリで生成されたTOTP、SMSコード、またはモバイルデバイスへのプッシュ通知を組み合わせます。より強力な実装はハードウェアセキュリティキー（FIDO2/WebAuthn）を使用し、認証する特定のドメインに暗号的にバインドするためフィッシングに耐性があります。SMSベースのコードはパスワードのみよりは優れていますが、SIMスワッピング攻撃に対して脆弱です。

MFAは組織が導入できる最も効果的なセキュリティ管理の一つです。業界データは一貫して、MFAが自動化されたクレデンシャル攻撃の99%以上をブロックすることを示しています。それにもかかわらず、採用は依然として不均一で、多くの侵害はパスワードのみで保護されたアカウント、特にサービスアカウント、レガシーシステム、サービス間で再利用された個人アカウントにまで遡ります。

Vaulted における 多要素認証 の使われ方

Vaultedはアカウントやログインベースの認証を使用しないため、MFAはサービスに直接適用されません。ただし、Vaultedのオプションのパスフレーズ保護はシークレットアクセスの類似した第2要素を提供します。リンク自体が「持っているもの」（URLの所持）として機能し、パスフレーズは「知っているもの」として機能します。これらを合わせることで、リンクを傍受するだけではシークレットにアクセスするには不十分です。攻撃者はパスフレーズも必要で、これは別のチャネルで伝える必要があります。