二要素認証とは
二要素認証(2FA)は多要素認証(MFA)というより広い概念の具体的な実装であり、ログインおよびアクション検証メカニズムであり、ユーザーがシステムがアクセスを認可またはアクションを記録する前に2つの異なる認証要素カテゴリーから証拠を提示することが必要です。3つの認識されたカテゴリーは以下の通り。知識要素(パスワード、PIN、セキュリティに関する質問)、所有物要素(携帯電話、ハードウェアトークン、オーセンティケーターアプリ)、および本質的要素(生体認証、指紋または顔幾何学のような)。真の2FAシステムは少なくとも2つの異なるカテゴリーの要素が必要で――たとえば2つのパスワードを組み合わせることは適格ではありません。
技術メカニズム
消費者ウェブアプリケーションにおける最も一般的な実装はTOTP(時間ベースのワンタイムパスワード)であり、RFC 6238で標準化されています。登録中、サーバーは秘密キーを生成し、それをユーザーと共有します。典型的にはQRコードを通じて、Google Authenticator、Authy、または1Passwordのようなオーセンティケーターアプリにインポートされます。その後、サーバーとアプリは独立して、HMAC-SHA1を共有秘密とその現在のUnixタイムスタンプの組み合わせに30秒ウィンドウに分割するに適用することで、6桁のコードを計算します。両方の側が同じアルゴリズムと秘密を使用するため、彼らが生成するコードは同一で――そしてのみ現在のタイムウィンドウ内で有効です。
その他の一般的な2FA配信メカニズムには以下が含まれます。
- SMS OTP:テキストメッセージで送信されたワンタイムコード。広く使用されているが、SIM スワップ攻撃のため低保証と見なされます。
- Email OTP:登録されたメールアドレスに配信されたワンタイムリンクまたはコード。
- プッシュ通知:ユーザーは同伴アプリでログインリクエストを直接承認します(Duo SecurityおよびMicrosoft Authenticatorで使用されます)。
- ハードウェアセキュリティキー(FIDO2/WebAuthn):暗号化された証明を生成する物理的なUSBまたはNFCデバイス。フィッシング耐性があり、最高保証消費者2FAメソッドと見なされます。
2FAはいつコンテストと投票プラットフォームで使用されるか
コンテストプラットフォームは2FAを最も一般的にアカウント作成時に展開し(実電話番号またはメールアドレスが登録者に属することを検証するため)、返す有権者のログイン時、および時々投票提出アクション自体でのゲート――特に各登録ユーザーがちょうど1票を許可される高いステイクス競争で。電話番号検証変種は、大量のユニークな検証された電話番号を取得することはボット操作者のために有意なコストおよび運用上のオーバーヘッドを持つため、特に効果的です。
投票はどのように2FAと相互作用するか
コンテストプラットフォームが2FA検証されたアカウントが投票することが必要な場合、各投票は検証されたアイデンティティシグナルによって暗黙的にサポートされます。電話番号またはメールアドレスが登録中にワンタイムコードを受け取った。N個の詐欺的な投票を2FA保護されたアカウントを使用して提出したいボット操作者は、したがって、N個のユニークな電話番号またはOTPメッセージを受け取ることができるメールボックスを取得し、各について検証ステップを完了する必要があります――完全に自動化されることができないプロセス、そして貧しくスケールします。
SMS ベースの2FAは仮想電話番号サービスを使用して部分的に回避できることができ、これが洗練されたコンテスト不正防止システムがキャリアグレード チェック実装される理由は、VoIPまたは非地理的な数をフラグします。TOTP ベースの2FAは大量取得が難しい各アカウント秘密の永続的な管理を必要するため。FIDO2/WebAuthnキーは物理的なハードウェアが必要であるため、大規模登録詐欺に対して効果的に耐性があります。
ベンダーおよび標準仕様
2FAは単一のベンダーのプロダクトではなくオープンカテゴリーであり、IETF標準(RFC 6238のためのTOTP、RFC 4226のためのHOTP)およびFIDO AllianceのWebAuthn仕様によって統治されます。実装ライブラリはすべての主要なプログラミング言語で存在します。Google Identity Platform、Auth0、およびAmazon Cognitoのようなクラウドアイデンティティプロバイダーは、コンテストプラットフォームが認証ロジックをスクラッチから書くことなく有効にできるビルトイン機能として2FAを提供します。
正当な使用
2FAは仮想すべての敏感なデジタルコンテキスト全体で基本的なセキュリティ管理です。オンラインバンキング、企業VPN、クリプトカレンシー取引所ログイン、政府e-サービス、ヘルスケアポータル、およびソーシャルメディアアカウント保護です。投票プラットフォームでの展開は有権者の個別性を確保し、詐欺調査のための監査追跡機能を提供することの二重目的を果たします。
不正防止の側面
コンテスト完全性の観点から、2FAは最も効果的な構造制御の1つです。ボット動作を検出することから不正防止負荷をシフト(競争である)して、現実世界のアイデンティティスカルシティを強制する。電話番号またはメールボックスは有限で、取得するのに費用がかかるリソースです。各投票がそのようなリソースと生きた検証ステップが必要な場合、大規模投票操作の経済学は大きく変わります。以前は達成可能だったデータセンターいっぱいのIPアドレスで、次は現実世界の通信資産またはヒト労働ファームを含む並列操作が必要です、その両方が法的露出と運用上のオーバーヘッドを導入し、ほとんどの詐欺操作者が維持することを望むものです。
要約。 二要素認証は、ユーザーがパスワードおよび電話またはメールアドレスに配信された一回限りコードでそれら自身を検証することが必要なセキュリティプロトコルです。TOTP、SMS OTP、Email OTP、プッシュ通知、およびFIDO2/WebAuthnのような複数の配信メカニズム存在します。コンテストプラットフォームは、登録時および投票時にアカウント検証のためにそれを使用し、大規模な不正防止のため、テレコム資産の取得の現実世界のコストを活用しています。
