メニュー

Rate this page:

Thanks for rating this page!

We are always striving to improve our documentation quality, and your feedback is valuable to us. How could this documentation serve you better?

Authyの認証チャネル

TwilioのAuthy APIはSMS音声通話ソフトトークン、およびプッシュ認証という4つの独立したチャネルをサポートします。

TwilioのAPIを使用すると、4つすべてのチャネルをターゲットにできます。 また前方互換性も実装されています。 すべてのチャネルは対等には作成されません。 各チャネルさまざまな長所と短所があります。 ここではこれら4つすべてについて説明しますが、認証のベストプラクティスドキュメントをお読みいただくか、サポートチームにお問い合わせいただければ、お客様独自の要件に対して最適な実装の選択をお手伝いします。

SMS

これまで一般的に実装されてきた第二の認証要素はSMS経由でのものです。 SMSチャネルの非常に大きな利点としてはクライアントレスであるということ、すなわちトークンの受信にいかなるアプリケーションのインストールも必要ない(また電話に出る必要もない)ことです。 また、一部のユーザーにとってはもっとも簡単な方法でもあります。 スマートフォンを持っておらず、認証用のアプリケーションをインストールできない人々がいるということです。

SMSチャネルは、間違いなくユーザーパスワードを必須とするのみの場合と比較してより良いものと言えますが、これまでチャネルのセキュリティーを損なう数々の実用されている不正な手口が発見されてきました。 これらの手口についてのリンクとプレゼンテーションを下記に示します:

We're also dedicated to building additional security on top of our SMS and voice channels. In some regions, we won't allow our SMS messages to be received by carrier online portals. For major carriers, we send out tokens by shortcode with a parameter directing carriers to only deliver to a real handset.

Voice

音声通話はSMSに対するTwilioの主要なバックアップ手段であり、スマートフォンではない認証向けに利用されます。 SMSの配信率は地域によって異なりますが、音声通話はキャリアーのネットワークにおいて優先され、もっとも高い信頼性をもたらします。 SMS認証のフォールバック手段として音声通話を併用されることを強く推奨します。

残念ながら、音声通話もまたSMSチャネルと同様の多くの不正な手口に対して脆弱です。 エンドユーザーに対してトークンを読み上げる前に、ランダムにプッシュボタンの数字を押すよう促すことができます。 このようにすることで、通話の相手が生身のエンドユーザーであり、トークンを横取り可能な自動応答ではないことを確かめることができます。

音声通話は二要素認証用に強く推奨されるフォールバックチャネルであり、多くの言語にローカライズされています。 音声通話チャネルは、最初からすでに何十もの言語をサポートしています。

ソフトトークン

モバイルデバイスやコンピューター用のアプリケーションをダウンロード可能なユーザーに向けては、ソフトトークンのソリューションが大変優れた選択肢になります。 ソフトトークンはアプリケーションによってシードされる定期的に変更されるパスコードであり、デバイスの時間が同期している限りオフラインでも動作します。

ソフトトークンには、他の二要素認証チャネルと同様な手口による脆弱性の影響を受けません。 しかしソフトトークンも完全ではありません。 ソフトトークンはフィッシング攻撃、ショルダーサーフィン(肩越しに画面を覗き見る行為)のようなソーシャルアタック、またバックアップキーに対する総当たり攻撃に対しては脆弱です。 これらのリスクは二要素認証実装のベストプラクティスをお読みいただくことである程度は改善できます。

Twilioのソフトトークンソリューションは多くの注目すべき追加機能があります。 無料のAuthy Appはネットワークアクセスの利用可能時に時計を更新する機会をうかがうことで、時計のズレとネットワークの時間同期エラーを自動的に補正します。 さらに実装を簡単にしてフラストレーションを削減するため、ソフトトークンはみなし時間に対して前後3分の範囲で有効です。 同様の機能はTwilioのAuthenticator SDKを使用して開発中のアプリケーションに組み込むことも可能です。

SMS、音声通話、およびソフトトークン向けにTwilioのソリューションを実装するために必要なものは、わずかな追加のコードのみです。 そしてデバイスを紛失したエンドユーザーに対しては、Authy Appは使い捨てのバックアップコード以外に追加のバックアップオプションを提供しています。

プッシュ

プッシュ認証はエンドユーザーの利便性とセキュリティーに対する最良の認証ソリューションです。 モバイルまたはデスクトップ用のアプリケーションをダウンロード可能なユーザーに対しては、何らかのログインまたはアクションについての認証がリクエストされていることをエンドユーザーに知らせるためにそのデバイスに送信される「プッシュ通知」またはメッセージを通じて行われます。

ソフトトークンの実装とは異なり、プッシュ認証は承認ダイアログを「自動で開く」別個の通知チャネルを通じて行われます。 エンドユーザーはAppを手動で開いてサイトを探すべくスクロールする必要はありません。 プラットフォーム固有のバナーまたはカードが表示され、エンドユーザーはその場で承認または否認することができます。

プッシュ認証はデバイスを紛失したり盗難にあった場合にバイパスされますが、これらはショルダーサーフィン (第三者が肩越しに画面を盗み見ること)などの一部のソーシャルアタックの可能性を防ぎます。 もっともセキュアな認証チャネルとして、Twilioはプッシュを推奨します。

Rate this page:

ヘルプが必要ですか?

We all do sometimes; code is hard. Get help now from our support team, or lean on the wisdom of the crowd browsing the Twilio tag on Stack Overflow.