二要素認証

二要素認証 (2FA) は、ログイン時にパスワード (知識要素) に加えて、もう 1 つの異なる種類の要素で本人確認を行うセキュリティ手法です。要素は 3 種類に分類されます。知識要素 (パスワード、PIN)、所持要素 (スマートフォン、セキュリティキー)、生体要素 (指紋、顔認証) です。2 つの異なる種類を組み合わせることで、1 つが漏洩しても不正アクセスを防げます。

QR コードは二要素認証の導入を劇的に簡素化しました。TOTP (時間ベースのワンタイムパスワード) 方式では、サービスが秘密鍵を QR コードとして表示し、ユーザーが Google Authenticator などのアプリでスキャンするだけで設定が完了します。32 文字の秘密鍵を手入力する必要がなくなったことで、技術に詳しくないユーザーでも 2FA を有効化できるようになりました。

認証フロー自体にも QR コードが使われます。LINE や WhatsApp の PC 版ログインでは、PC 画面に表示された QR コードをスマートフォンでスキャンすることで、パスワード入力なしにログインできます。これはスマートフォンの所持を認証要素として利用する仕組みです。

ただし、QR コードを使った認証にはリスクもあります。攻撃者が偽のログイン QR コードを表示し、被害者にスキャンさせて認証を乗っ取る「QR コードフィッシング (クイッシング)」が報告されています。QR コードをスキャンする前に、表示元が信頼できるサービスであることを確認する習慣が重要です。