VeriSignは、複数のウェブサイトでユーザー名とパスワードによるログインに加えて、信頼性の高い暗号技術を用いた本人確認方法を追加できるiPhoneアプリをリリースしました。現在このシステムをサポートしているウェブサイトとしては、AOL、eBay、PayPalなどが挙げられます。
無料のVIP Access for Mobileアプリケーションは、iPhoneの電話番号に基づいて作成された固有の認証情報を使用し、その番号に送信されるSMSメッセージで確認されます。このループバックプロセスで認証情報が確認されると、プログラムは認証情報から独自に導出されるアルゴリズムを使用して、30秒ごとに固有の6桁のトークンを生成します。(VIPはVeriSign Identity Protectionの略です。)
iPod touchデバイスは、少なくとも現在のシステム設計では、帯域外認証による固有IDの確認方法がないため、VIP Accessを使用できません。VeriSignはこれまで、このアプリケーションをBlackBerryなどのプラットフォームを含む携帯電話向けにのみリリースしていました。
このシステムを使用すれば、ウェブサイトでログインデータが漏洩したり、ログイン認証情報を詐取されたりした場合でも、アカウントが盗まれる可能性は大幅に低くなります。VeriSignは独自のトークンを個別に管理・認証しているため、クラッカーはユーザー名とパスワードを入手したとしても、侵入できません。侵入するには、トークン入力を無効化またはバイパスできるような内部セキュリティ上の欠陥がサイトに存在する必要があります。(適切に設計されたサイトでは、パスワードは常に暗号化され保護されていますが、データ漏洩が発生した場合、クラッカーはアカウント情報と、一般的に推測されるパスワードや他の情報源から集めたパスワードを組み合わせ、メールアドレスやその他の
データと照合することが可能です。)
VeriSignのシステムをサポートするサイトでは、最初に現在のユーザー名とパスワードでログインし、その後VIP Accessから取得した認証情報を入力して二要素認証(1つは通常のログイン情報、もう1つはトークン)を有効にします。その後、そのサイトを利用するには、通常のログインに加えて、携帯電話と現在のトークンが必要になります。
携帯電話にこの2要素認証機能があることの利便性は、いくら強調してもし過ぎることはありません。iPhoneユーザーは、ほとんどの場合、携帯電話を持ち歩いていますし、パソコンを使う時も、携帯電話は手元にあるか、手元にあることが多いです。しかも、多くのウェブサイトが単一のデバイスで対応しています。私は現在、eBay/PayPalとEtradeのキーフォブを使っています。これらのサイトは頻繁に利用するわけではありませんが、キーフォブを探すのにいつも苦労しています。
二要素認証のセキュリティは、窃盗犯があなたの情報を悪用するには2つの要素が必要であり、両方を同時に入手することは困難であるということです。もし誰かがあなたの認証番号を入手したとしても、現在のトークンをリバースエンジニアリングすることはできません。誰かがあなたの現在のトークンをちらっと見たか、あるいは他の方法で入手したとしても、30秒以内に無効になります。上記のスクリーンショットには私のiPhoneから取得したトークンが含まれていますが、これは私が取得してから30秒間しか有効ではありませんでした。
たとえ泥棒があなたの携帯電話を盗んだとしても、VIP Mobile で使用しているサイトのアカウント名とパスワードを保存していない限り、トークン ジェネレーターがあっても泥棒にとって何の役にも立ちません。
フィッシング攻撃は依然として可能です。VIPトークンを使用する安全なサイトにアクセスしていると思い込み、ログイン名、パスワード、そして現在のトークンを入力したとします。もし悪意のあるサイトが、数秒以内に本物のサイトで同じ認証情報を入力すると、フィッシング攻撃者がアクセスできてしまう可能性があります。
そのため、自分がアクセスしている安全なサイトが実際に正しいサイトであることを示す兆候に注意することが特に重要になります。ドメイン名を確認し、 URL (場所フィールド) にhttpsが含まれているかどうかを確認し、ブラウザにロック アイコン (Safari の場合は右上、Firefox の場合は右下) が表示されていることを確認します。
参加サイトは、ユーザーの身元確認をさらに行うこのログインを得るために、顧客 1 人当たり年間 3 ドルから 10 ドルを支払うとニューヨーク タイムズは報じているが、顧客は一切支払う必要はない。
これは双方にとって素晴らしい取引です。顧客は、多少の不便を覚悟すればアカウントの安全性を保証されます。とはいえ、ほとんどの人は携帯電話を常に持ち歩いています。サイト運営者にとっては、アカウントがハッキングされた場合のコストや煩雑さに悩まされることなく、さらなるセキュリティを確保できます。