前回のパスワード管理に続き、今回は認証システムです。自社の認証システムをID/パスワードの簡易的なものに設定していたりしないでしょうか。最近では他の大規模サービスで漏洩したID/パスワードを使ったアタックも多く、同じパスワードを使い回していたりするとあっという間に乗っ取られてしまいます。

そうなると自社も被害者ながら加害者になる可能性があります。そうならないためにはもっとセキュリティレベルの高いサービスの認証システムに乗ってしまうのが手です。最近ではOAuth2も当たり前になり、利用しやすくなっています。

2段階認証

ちゃんと有効にしていますか？有名なところではGoogle、Facebook、Dropbox、Evernote、Appleなどが使えます。WordPressはWordPress.comはもちろん、ダウンロード版であってもプラグインで2段階認証に対応させられます。

自社のシステムを2段階認証に対応させるのは大変なので、前述のようなサービスをうまく活用したいですね。

SMS

2段階認証でも同じようなものですが、最終的にキーとして使うのはSMSになります。その意味では携帯電話がないと認証がとても難しくなっているのですが（音声電話でのキー入力もありますが面倒ですよね）、メールよりも信頼は高い仕組みです。

日本においてはTwilloが1通1円のSMS送信を提供しています。より認証の水準を高めるためには使ってみる価値があるでしょう。

秘密の質問

Webサービス系ではよく使われている秘密の質問ですが、日本語の場合はひらがな、カタカナ、漢字が使えるため何を入力したのか忘れやすいのが欠点です。Webサービス側としてはひらがなしか入力できないようにするといった工夫が必要ではないでしょうか。

友人認証

Facebookが提供した（今もあるのでしょうか？）友人3人による認証ですが、架空の友人申請を踏むことで認証回避できるシステムになってしまったことでセキュリティ的にあまり意味がないものになっています。

CAPTCHA

未だに分かりづらい文字列を入力させるCAPTCHAは多いですね。コンピュータに読ませないためなのは分かりますが、人間でも読みづらいくらいです。個人的にはソフトバンクが使っている画像を重ねるタイプのCAPTCHAのが良いかと思います（スマートフォンに対応していないかも知れませんが）。

CAPTCHAをハックする技術も進んできているため、大手においてはほぼ破綻しているのではないでしょうか。もっと良い手法が生み出されて欲しいですね。