二要素認証(2-factor authentication, 2FA)は優れものだから、それを標準的機能として採用するサービスが増えている。しかし二要素認証のいちばん多い実装方法のひとつであるSMSを、NISTは除(の)け者にしようとしている。
NISTは計測や測定に関する全国共通のガイドラインや規則を作るお役所だが、当然ながらその関連技術分野は多く、セキュアな電子的通信に関連する技術にも、目を配っている。
このお役所が近く発表する二つの公式声明は、認証やセキュリティに関連するさまざまな推奨をアップデートし、またそれらのドキュメントを公開意見聴取(public preview)にさらす。つまり声明の内容は推奨の変更に関する公開草案だから、意見に対しては、NIST自身からの公式の応答を要する。
しかしNISTは、それがお役所仕事になるのを防ぐために、草案に対する意見やコメントを述べる新たな場としてGitHubを選んだ。それについて、“すでに関連コミュニティが集まってコラボレーションしている場にわれわれも参加することは、きわめて妥当である”、と説明している。
ただしその公開意見聴取は、テキスト本体に質問や意見を書き込むという、ちょっとひどいやり方だ。すでに、“これじゃあ難しすぎるよ”、という内部者のコメントが記入されている。
いずれにしても、変更箇所はものすごく多い。でも、われわれ平均的アメリカ人にとっていちばん重要なのはたぶん、これからは“帯域外認証の手段(out of band authenticator, OOB)”としてSMSを使うな、というくだりだろう。2FAのための使い捨てコードの送付に、SMSを使うな、というのだ。
公共的移動(モバイル)電話ネットワーク上でSMSメッセージを使って帯域外確認を行うのなら、確認者は、その電話番号が実際にモバイルネットワークに結びついていること、VoIP(などのソフトウェアサービス)に結びついていないことを、確認しなければならない。それから確認者は、SMSメッセージをその既登録の電話番号へ送る。その既登録の電話番号の変更は、変更時に二要素認証を不能にしないかぎり、不可能である。そこで、SMSを用いるOOBを非推奨とする。またこのガイダンスの今後のリリースにおいては、不許可とする。
当面は、電話番号が仮想番号でないかぎり、SMSの利用は続けられるが、通信内容の露見や変造の危険性は、SMSの場合とても大きい。NISTは今は黙っているが、みんながコメントを書き込む期間が終われば、もっといろんなことを言うだろう。でも、上の太字の部分が明確に示しているように、SMSメッセージの利用は遠からず、“良からぬ行い”と見なされることになる。
代わりに、2FAの専用アプリケーション、Google AuthenticatorやRSA SecurIDなどを使うか、ドングルを使用するセキュリティサービスを利用するとよいだろう。SMSが使えなくなっても、代わりの選択肢はたくさんある。SMSは、簡単、だけがメリットだった。
NISTの変更提案の、そのほかの主なものは、以下のとおり:
- LOAを構成部品のそれとする〔製品の全長とはしない〕
- アイデンティティ証明を完全に改訂する
- パスワードに関するガイダンスを完全に更新する
- トークンなどセキュアでない認証手段を廃止する
- フェデレーション〔複数サービス連合、≒SSO〕を要件とし推奨する
- バイオメトリクスの適用対象を拡大
- プライバシーの要件(作成中)
- 有用性に関する検討事項(作成中)
さてみなさまは、ドキュメントそのものを見た方がよいかもしれない。リンクは序文の冒頭にある。コメントしたい人は、GitHubのイシュートラッカーを使おう。その詳細はここにある。