知識要素 (あなたが知っているもの)
知識要素 (あなたが知っているもの) とは何ですか?
知識要素 (あなたが知っているもの)パスワード・PIN・パスフレーズ・秘密の質問の答えなど、ユーザーが知っている情報に基づく認証要素。
知識要素は古典的な 3 大認証要素の 1 つで、「あなたが知っているもの」を指します。典型例はパスワード、PIN、パスフレーズ、リカバリーコード、知識ベース認証 (KBA) の質問への回答などです。追加ハードウェアが不要なため導入は容易ですが、3 要素の中では最も脆弱です。フィッシング、推測、サイト間での使い回し、データベース漏洩、マルウェアによる抜き取りといった攻撃を受けやすいためです。NIST SP 800-63B などの基準は、高い保証レベルではパスワード単独では不十分とし、所持要素や生体要素と組み合わせた多要素認証を推奨しています。
● 例
- 01
ユーザーがアカウントのパスワードを入力して SaaS アプリにログインする。
- 02
6 桁の PIN を入力してスマートフォンのロックを解除する。
● よくある質問
知識要素 (あなたが知っているもの) とは何ですか?
パスワード・PIN・パスフレーズ・秘密の質問の答えなど、ユーザーが知っている情報に基づく認証要素。 サイバーセキュリティの ID とアクセス カテゴリに属します。
知識要素 (あなたが知っているもの) とはどういう意味ですか?
パスワード・PIN・パスフレーズ・秘密の質問の答えなど、ユーザーが知っている情報に基づく認証要素。
知識要素 (あなたが知っているもの) はどのように機能しますか?
知識要素は古典的な 3 大認証要素の 1 つで、「あなたが知っているもの」を指します。典型例はパスワード、PIN、パスフレーズ、リカバリーコード、知識ベース認証 (KBA) の質問への回答などです。追加ハードウェアが不要なため導入は容易ですが、3 要素の中では最も脆弱です。フィッシング、推測、サイト間での使い回し、データベース漏洩、マルウェアによる抜き取りといった攻撃を受けやすいためです。NIST SP 800-63B などの基準は、高い保証レベルではパスワード単独では不十分とし、所持要素や生体要素と組み合わせた多要素認証を推奨しています。
知識要素 (あなたが知っているもの) からどのように防御しますか?
知識要素 (あなたが知っているもの) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
知識要素 (あなたが知っているもの) の別名は何ですか?
一般的な別名: あなたが知っているもの, 知識ベース要素。
● 関連用語
- identity-access№ 844
所持要素 (あなたが持っているもの)
ハードウェアトークン、スマートカード、認証アプリ、登録済み端末など、ユーザーが保有する物理的または暗号的な対象に基づく認証要素。
- identity-access№ 533
生体要素 (あなた自身)
指紋・顔・虹彩・声・タイピングリズムなど、ユーザーの生体的特徴に基づく認証要素。
- identity-access№ 623
場所要素 (あなたのいる場所)
GPS 座標、IP ジオロケーション、オフィスの Wi-Fi など、ユーザーの地理的・ネットワーク的な所在を用いてサインインを評価する文脈的認証要素。
- identity-access№ 1154
時間要素 (認証)
アクセスを時間帯・曜日・セッション持続時間に基づいて制限・評価する文脈的認証要素で、リスクベースのポリシーと組み合わせて用いられることが多い。
- identity-access№ 708
多要素認証 (MFA)
アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。
- identity-access№ 798
パスワードポリシー
ユーザーパスワードの生成、保存、更新、検証に関するルールを文書化したもので、セキュリティと利便性のバランスを取るために定められる。