4Login認証は、以下の2つの要素を必要とする二要素認証を手軽に実現します。
- 本人のスマートフォンを保持していること(所有物要素)
- 4Loginアプリに登録したパターンを知っていること(知識要素)
ここでは、4Login認証の手順から、その仕組みを詳しく説明します。
4Login認証の手順
4Login認証の手順を、連携Webサービスの「クリプタン」にログインする場合を例に取り、説明します。
Webサービスのログイン画面を開くと、IDとパスワードの入力を求められます。
自分の4LoginアプリでそのWebサービス(この例では、クリプタン)のスロットを開いてください。
下記画像のような5×5のマトリクス中にランダムな数字が表示されます。この中に、パスワード(8桁の数字)が隠されています。
ユーザーは、4Loginアプリを利用開始する際に、自分だけのパターン(5×5のマトリクス中の4か所の位置と順番)を決めています。そのパターン上に表示された数字を順に読み取っていくとパスワードになります。以下の例ですと、「96261101」がパスワードです。
画面内に表示されたユーザIDとパスワードを入力することで、Webサービスにログインすることができます。ただし、パターンを窃取されることを避けるため、4Loginアプリを起動し、マトリクスを開くのは、誰にも見られていないところで行いましょう。
このマトリクス中の番号は、Webサービス側が決めた所定の時間で更新されます。万が一、パスワードが窃取されたとしても、時間が経つと利用できなくなります。クリプタンでは、1時間毎に数字が更新されます。
ログインプロテクト
4Login認証には、「総当たり攻撃(ブルートフォースアタック)」に対して強力な「ログインプロテクト」という機能が実装されています。
ログインプロテクトは、ログイン可能な時間を極限まで減らすことで、認証のセキュリティ強度を高める技術です。過去にあったどんな認証の仕組みとも異なる点は、「ユーザーが何もしない限り認証を受け付けない」ことです。ユーザーが何もしない状態においては、パスワード入力フォームに対してどんなパスワードを(たとえ正解であっても)入力してもシャットアウトします。
この仕組みによって総当たり攻撃は無意味となり、100%安全な認証が実現します。
正しいユーザーが認証する際には、最初に4Loginアプリを起動し、パスワード表示画面を開きます。この「パスワード表示画面を開くこと」が「これからパスワードを入力する」という合図となり、「ログインプロテクトサーバー」に送られます。
ログインプロテクトサーバーは、各ユーザーのログイン受付時間を管理しています。「4Loginサーバー」は合図を受け取ってから1分間だけ、ログインを待ち受ける状態になります。この間にユーザーがパスワードを入力することで認証します。
逆に言えば、ログインプロテクトサーバーに対して合図が送られない限りは、4Loginサーバーはパスワード判定すら行わないため、真正なユーザー以外のパスワードはそもそも受け付けられません。
正しいスマホと、正しく登録された4Loginアプリを保持している人だけが認証可能という、所有者認証の本質を実現する仕組みであると言えます。
QRログイン
4Login認証とログインプロテクトの安全性は維持したまま、利便性を高めた仕組みが「QRログイン」です。
連携Webサービスのログイン画面においてパスワードの入力を求める代わりに、動的なQRコードを提示します。このQRコードを4LoginアプリのQRコードリーダーで読み取ると、スマートフォン上で認証プロセスが開始します。
以下は「クリプタンWeb」でQRログインが開始された場合の画面です。
このQRコードを読み取ることによって、どの端末でクリプタンWebが開かれたのかが、あなたの4Loginアプリに伝わります。4Loginアプリ上では、フィッシング対策のためのいくつかの確認に加えて、あなたが登録したパターンの入力が求められます。この手順により、「あなたが正しいアプリを所有していること」、および、「あなたがパターンを知っていること」という二要素認証が完了します。
この手順が完了すると、端末に入力するはずだった8桁のワンタイムパスワードが(暗号化された状態で)インターネット経由で送信され、自動的にクリプタンWebへ入力されます。その後、クリプタンWebのログイン画面が表示されていた端末で、画面が遷移し、クリプタンWebにログインします。
なお、ログインプロテクトの解除はパターン入力画面が開かれるタイミングで実施されています。パターンをタップしてからログインが完了するまでの数秒以外は一切のパスワードは受け付けられません。
