三要素中二要素認証最近のスマホは指紋や虹彩などの生体認証になっているものが多いが、生体での認証に失敗してもパスワードなどでロックを解除できる。 つまり生体要素と知識要素の二要素認証だね!って、そんなわけがあるまい。 二要素認証は二要素をANDで認証する方式だ。 生体認証と知識認証をORで結んでいるスマホのロックは二要素認証ではなくて「二要素中一要素認証」とでも言うべきだろう。 二要素中一要素認証は、はっきりいって一要素認証より安全性が小さい。 攻撃者は時と場合によりどちらか簡単な方を盗むだけで突破できるからだ。 それならば純粋な一要素認証にした方が遥かにセキュアだろう。 しかしこういう認証にしたくなる気持ちもわかる。 生体認証は便利で強力だが精度が微妙で、本人でも認証できないことがザラにあるからだ。 生体要素、所持要素、知識要素、どれをとってもそれぞれの異なる事情で本人のもとから「失われる」ことがある。 そ
