先進認証と基本認証の違いについて説明してみた

プロモーションを含みます。
プロモーションを含みます。

M365基本認証の廃止

2022年10月頃から急に Outlook へログインできなくなり、焦った方も少なくなかったかと思います。

Microsoft は以前から、レガシー (遺産的な) プロトコルである「基本認証」の廃止についてアナウンスしており、Microsoft 365 のテナント管理者が、2022年9月30日までに先進認証をオプトアウト (拒否を意味する言葉) していない場合、強制的に「先進認証」へ移行することになっていました。

オプトアウトしていれば、1ヶ月の猶予期間が与えられたようです

先進認証とは

先進認証とは、従来の認証方式である「基本認証」から、徐々に移行されつつあるセキュア(安全)な、今どきの認証方式のことです。

先進認証は「モダン認証」や「OAuthオー・オース 2.0 認証」とも呼ばれます。

先進認証の認証ダイアログ

先進認証では、以下の画像のような Web ベースの認証ダイアログが表示されます。

先進認証の認証ダイアログ

OAuth (オー・オース) 2.0とは

先進認証では、「OAuthオー・オース 2.0」という認可プロトコルが利用されています。

話が少しそれますが、OAuth について説明します。

OAuth は「Open Authorization」の略です。

OAuth は簡単に言うと、「第3者のアプリ」が「本家の Web サービス」に対して限定的なアクセスを可能にする認可の仕組みのことです。

また、利用者に対しアクセス可能時間を制限することができるようになります。

OAuth は「アクセストークン」と呼ばれる、いわば利用できる範囲が限定されたサービス券が利用されています。

この認可プロトコルを利用することで、ログインアカウントへ与える権限を制限でき、万が一不正アクセスされたとしても被害を最小限に抑えることができます。

OAuth 2.0 は、認可(Authorization)プロトコルであり、認証(Authentication)プロトコルではありません。

認可とは、あるサービスのアクセス可能な範囲を特定し、その特定した範囲に対しアクセス権限を与えることを意味します。

OAuth 2.0 は、「RFC 6749」で規定されています。

概要

OAuth 2.0承認フレームワークを使用すると、リソース所有者に代わって、リソース所有者とHTTPサービス間の承認インタラクションを調整するか、サードパーティアプリケーションに次のことを許可することにより、サードパーティアプリケーションがHTTPサービスへの制限付きアクセスを取得できます。自分のためにアクセス権を取得します。この仕様は、RFC 5849で説明されているOAuth 1.0プロトコルを置き換え、廃止します。

https://tex2e.github.io/rfc-translater/html/rfc6749.html

プロトコルは「規約」を意味します。

基本認証のデメリット

基本認証は、ユーザー名とパスワードを入力して認証します。

そして、それを直接サーバーに送信するという、いたってシンプルな認証方法です。

基本認証は今もなお利用されている認証方式で、「Basicベーシック 認証」や「レガシー認証」とも呼ばれます。

一方、先進認証では、ユーザー名とパスワードを直接サーバーに送信することはありません

代わりに、ユーザーは、信頼できる認証サービスに転送され、そこでユーザー名とパスワードを入力します。

基本認証の何が問題かというと、「ユーザー名」と「パスワード」さえ知っていれば、誰でもログインできてしまうという点です。

パスワード総当りでログイン試行されること (ブルートフォース攻撃) によって、不正ログインされてしまう可能性がある、という点が基本認証のデメリットです。

基本認証は、サイバー攻撃に弱い。

先進認証を利用するメリット

アクセス可能範囲を限定的にすることに加えて、多要素認証が利用できることも先進認証のメリットの一つです。

多要素認証とは、「ユーザー名」と「パスワード」で認証した後、さらに SMS に送付された6桁の番号を入力する認証アプリで定期的に変わる番号を入力するといった、追加の本人確認要素を付け加えた認証方法のことです。

ここで言う多要素認証は(厳密には違いますが)2段階認証とほぼ同義です。

まとめ

先進認証
  • セキュア(安全)な、今どきの認証方式
  • モダン認証とも呼ばれる
  • ユーザー名とパスワードを直接サーバーに送らない
  • OAuthオー・オース 2.0 とう認可プロトコルが利用されている
  • 多要素認証が利用できる
基本認証
  • (従来の)いたってシンプルな認証方式
  • ベーシック認証や、レガシー認証とも呼ばれる
  • ユーザー名とパスワードを直接サーバーに送る
  • サイバー攻撃に弱い
この記事を書いた人
TerraYuuki

ITインフラエンジニアのアウトプットブログ。仕事や資格勉強などを通じて得たIT技術やWindows Tips、ガジェットレビュー記事を主に書いています。

written by Terra Yuuki
PR
インターネット
てこエンジニアブログ