プッシュ認証

Q: プッシュ認証 からどのように防御しますか?

プッシュ認証 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

監修Florian AmetteCybersecurity entrepreneur & security researcher

プッシュ認証とは何ですか?

プッシュ認証ID プロバイダーが信頼済みのモバイルアプリにサインイン要求を送り、利用者がタップ操作で承認または拒否する MFA 方式。

プッシュ認証では、入力するワンタイムコードの代わりに、Microsoft Authenticator、Duo、Okta Verify などのベンダーアプリを通じて帯域外の承認プロンプトが届きます。利用者がパスワードを入力すると、IdP はサインイン試行を説明するプッシュ通知を送り、利用者が「承認」をタップすると、アプリは端末に紐付いた非対称鍵で応答に署名します。TOTP より便利な一方、攻撃者がプロンプトを大量に送り、利用者が誤って承認するのを狙う MFA 疲労攻撃に弱いという欠点があります。最近の実装では数字マッチング、地理情報、リスクシグナルを追加し、フィッシング耐性が必要なフローは FIDO2/passkey に委ねる方向に進んでいます。

● 例

01
企業の SaaS にサインインする際、Okta Verify のプッシュ通知を承認する。
02
サインインを確認するために、画面に表示された 2 桁の番号を Microsoft Authenticator に入力する(ナンバーマッチング)。

● よくある質問

プッシュ認証とは何ですか?

ID プロバイダーが信頼済みのモバイルアプリにサインイン要求を送り、利用者がタップ操作で承認または拒否する MFA 方式。サイバーセキュリティの ID とアクセスカテゴリに属します。

プッシュ認証とはどういう意味ですか?

ID プロバイダーが信頼済みのモバイルアプリにサインイン要求を送り、利用者がタップ操作で承認または拒否する MFA 方式。

プッシュ認証からどのように防御しますか?

プッシュ認証に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

プッシュ認証の別名は何ですか?

一般的な別名: プッシュ MFA, プッシュ通知認証。

● 関連用語

● 関連項目

MFA 疲労攻撃(プッシュ爆撃)