Duo 2要素認証(2FA)アプリケーションをはじめとするセキュリティソリューションを提供するDuo Security社が最近行った調査によると、米国で2FAを利用している人はわずか28%であることが明らかになりました。しかし、2FAを利用している人の間では、セキュリティキーが最も便利で、次いでプッシュ通知(Duo PushやGoogle Promptなど)と認証アプリが僅差で続いています。
デュオの調査結果
Duoの調査では、いくつかの重要な発見がありました。その一つは、アメリカのオンラインユーザーのうち、アカウントで2FAを有効にしているユーザーが3分の1未満(28%)だったことです。この数字はDuoの予想を下回りました。
もう一つの発見は、半数以上(54%)が自主的に二要素認証を使用している一方で、残りの回答者は職場で使用しているか、何らかの理由で二要素認証を有効にするようインセンティブを与えられているという点です。回答者のほぼ半数(45%)は、二要素認証を提供しているすべてのサービスで二要素認証を使用していると回答しました。
認証方法としてセキュリティキーとプッシュ通知を有効にした回答者の3分の2は、その使い勝手の良さを実感し、75%はセキュリティキーを「ユーザーフレンドリー」だと感じました。回答者のわずか1.8%が、過去に2FAを使用していたものの、使い勝手が悪いため現在は使用していないと回答しました。
回答者全体の86%がSMS認証を使用していました。これは、多くのサービスがSMS認証を唯一の2FAソリューションとして提供しているか、少なくともデフォルトで採用していることが大きな理由です。物理的なセキュリティキーを使用していたのはわずか9%でしたが、それでもDuoの予想を上回る数字でした。
アメリカ国立標準技術研究所 (NIST) は、攻撃者が認証コードを傍受することが非常に簡単であると判断したため、SMS 2FA を非推奨としました。
二要素認証の重要性
理想的には、様々なサービスへのログインパスワードで十分であり、各企業がベストプラクティスに従ってパスワードを暗号化しているのであれば、2FAは必要ありません。これにより、特に辞書攻撃による総当たり攻撃が容易ではないパスワードを使用している場合、攻撃者はパスワードを解読できなくなります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
しかし、現実には多くの企業がパスワードを全く暗号化していないか、暗号化が不十分なため、アカウントの認証情報が悪意のあるハッカーの攻撃にさらされている現状があります。そのため、少なくとも重要なデータを保管するオンラインアカウントにおいては、2FAはほぼ必須となっています。攻撃者がパスワードを入手したとしても、2FAコードも入手しない限り、アカウントにログインすることはできません。
2FA にはさまざまな方法がありますが、最も安全で、Duo の調査によるとほとんどの人が最も使いやすいと感じる方法は、Universal 2nd Factor (U2F) セキュリティ キーです。
