@vividmuimui
2017/08 社内LT資料
雑にいうと、
ID/PWなどでログインした後に、それ以外の情報で認証をすること
そもそも、
要素
認証(多要素認証)段階
認証(多段階認証)
は別
利用者から見たときはどっちでもいい話(よくないが)なので、「2段階認証
」と書かれることが多い(気がする)
ので、ここでは「2段階認証
」と呼ぶことにします
これらの要素があり、2つ(以上)の要素を組み合わせて認証するので、2要素認証(多要素認証)という
2段階目の認証としてよくあるのが(僕目線)
とりあえずやるのなら
一択だと思う
電話番号を扱うノウハウが有るのなら
は選択肢の1つ
電話番号をもっていると、問い合わせなどのほかの用途にも使えて便利そう。(端末やメールに比べて、電話番号は変わりにくいと思うので、何かと役立つ)
これ単体ではなく、ほかの方式と併用するのが良い
また、ここらへんは読んでおく必要がある
何かしらの専用スマホアプリがあるのなら
がオススメ
数字を入力するなどの必要が無いので、ユーザーの手間が少ない
ナウい
これは単体では使えず、ほかの方式と併用する必要がある
(おそらく。そのアプリに初めてログインするときの2段階認証は?となるので)
(2017/08/02 現時点の話)
googleは、2段階認証を初めて設定する際は、
電話番号(SMS or 音声)を利用した方式を設定する必要がある
それ以降は、
「Google認証システム」や「Google
からのメッセージ」などいくつかの種類の方式から、
好きなものを設定できる
これら検討する必要がある
などなど検討することはあるが、重要なのは↓
基本方針は、「ユーザーを認証するタイミングで出す」
なので、通常のログイン以外にも、パスワード再発行とき等にも出す必要はありそう
という流れ
だが、実装によるし、本当に出す必要があるか、は議論の余地がある
所持情報
?
とかとか
素直に「ワンタイムパスワードをメールで送信」で実装するのなら、安全に倒して2段階認証出しておくのが良いと思う
ユーザーの手間が増えるが、パスワードの再発行とかは頻繁に行われないので問題ない
SMSを送れるのであればそれ経由でワンタイムパスワード
「Google認証システムなどをつかった時間ベースのワンタイムパスワード」この方式を実装する時の話
#verify_with_drift_and_prior
で対策できる。
「Google認証システムなどをつかった時間ベースのワンタイムパスワード」で実装するのは、
要件・仕様さえ決まればサクッとできる
reCAPTCHAの組み込みはもっと楽だった
「2段階認証(2要素認証)」を英語にすると、
「two factor authentication」だが、
良い落とし所が見つからない。。