二段階認証とは

二段階認証は、ユーザーの身元を確認するためのセキュリティ手段の一つです。1つの認証の要素（主に知識情報）を2つ用意し、2回の段階に分けて用いることにより、ユーザーの認証情報（パスワードなど）が第三者に知られた場合でも、追加の認証手段があることから不正アクセスを防ぐことが可能になります。

例えば銀行のウェブサービスにログインする際、 ユーザーID とパスワードを入力した後、さらに第二パスワードの入力が求められ、追加認証を行う仕組みがこれにあたります。

近年、複数の「段階」や「要素」を組み合わせて認証する方法が広まっている理由として、相次ぐ不正ログインへの対策が求められているという背景があります。金融機関などへの不正アクセスが増えていること、単一のパスワードだけでは簡単に認証を突破されてしまうことが理由です。

この「複数の方法を組み合わせる認証」の一つが二段階認証ですが、ほかに二要素認証（多要素認証）という手法があります。二要素認証は二段階認証と名前が似ており混同されることが多いですが、以下のような違いがあります。なお、より厳密に個人を識別できるため、セキュリティの強度は二要素認証のほうが上になります。

1. 二段階認証：認証の三要素（「知識」・「所有」・「生体」）のうち、一つの要素（おもに「知識」）だけを二つの段階に分けて使い、ログインするものです。
2. 二要素認証：認証の三要素のうち、二つを使ってログインします。

二段階認証では「知識」を2つ組み合わせることが一般的で、そのため後述のフィッシング詐欺などにかかると簡単に突破されてしまいます。一方、二要素認証では知識と所有、知識と生体など複数の、本人しかもたない要素を使わなければならないため、第三者による認証突破のリスクを大きく減らすことができます。

二段階認証は、ユーザー個人を確認するためのセキュリティ強化手段です。一方で、デメリットもあります。

ユーザーの利便性が低下する可能性がある

二段階認証ではログインのためのアクションが一つ増えることから、ユーザーの利便性を考慮する必要があります。

近年多くのwebサービスが、セキュリティ強化のため二段階認証を採用しています。複数のサービスにログインするたびに認証を行うことになると、ユーザーの手間は増大します。また多くのパスワードを覚えられないからと安易なパスワード、同じパスワードを使い回してしまいがちです。

このデメリットを解消するのがシングルサインオン（SSO）になります。

フィッシング詐欺には対応できない

二段階認証では、ログインした端末とは別の端末に認証コードなどが届きます。そのため不正ログインしようとした第三者は、端末に届いた認証コードがなければログインできません。また本人は身に覚えのないログイン操作にすぐ気づくことができます。

しかし、ユーザー本人が本物のログイン画面そっくりの偽サイトに情報を入力してしまう（フィッシング詐欺にひっかかる）と、認証に必要な情報は悪意の第三者に知られてしまいます。

これを防ぐためには、日頃から怪しいと思われるサイトは開かないこと、不審なメール・SMSから届くリンクを踏まないこと、身に覚えのない二段階認証の通知（タイミングが遅れて届いたものなど）を安易に信用せず、本当に自分のログインしようとしたものかどうか確認すること、などに気を付けることが重要です。