Scribble at 2023-04-12 12:22:39 Last modified: unmodified

AWS で、他の多段階認証に比べて頻度が高いと思うのだけれど、MFA のコードを入力すると "Internal Error" と称する意味不明なエラーが起きてサイン・インできなくなるんだよね。サービスが使えなくなっては困るから、こういう利用者側に何の落ち度もないトラブルが頻発すると、逆に多段階認証を無効に戻すユーザが増えかねない。MFA を推奨する建前を維持したいなら、それに見合う実装と運用が必要であって、僕からすれば SLA の問題にもなりかねないほど貧弱な耐障害性しかないと思える認証システムでは、ちょっと信頼性に欠けると言わざるを得ないね。

そろそろ MFA についても情報セキュリティの実務家という立場で何か書いておいた方がいいとは思うのだけれど、その前にオンライン・サービスを使っている個人としては、はっきり言って大して有効じゃないと思ってるんだよね。多段階認証って。アクセスするべきサイトの URL に間違いがなくて、認証情報の運用や管理にも大きな問題がない限り（もちろんパスワードの桁数なども大きくて複雑だ）、多段階認証がどうしても必要かと言われたら、そうでもない。要するに多段階認証とは言っても認証システム上は OTP（ワンタイム・パスワード）のことなのであるから、そのときにだけ有効な認証情報を一致させることで、誰かが盗んだり推測しただけのパスワードではアクセスできないようにするのが設計上の目的だ。逆に言えば、推測しようがないほど大きな桁数で、盗まれるリスクも極端に低いという自信があるなら、あとは他人にアクセスされる可能性があると言えば、サービス側のサーバへ侵入されたり、サービス側の人間がユーザに成りすましてデータを勝手に書き換えるといった内部犯行の可能性しかない。そして、それらはユーザからすれば全く何の対策も講じようがない脅威なのだ。そういう原因で成り済ましされたら、防ぎようがないのである。だって、こっちはログインすらしてないうちにデータが改変されちゃうんだから。

なので、認証情報の運用に或る程度の自信があれば、多段階認証なんて面倒臭いだけだから使わなくてもいいと言えばいい。時間はかかるし、手間もかかる。しかも相手のシステムに問題が起きると、こっちに何の落ち度がなくても認証が通らなくなるなんて、そんなもん百害あって一利なしの典型ではないか。