 note = {本研究では物理デバイスを所持する必要のない二要素認証 (2FA) として,正規ユーザ本人しか知 らない URL を 2nd factor とする個人認証手法を提案する.パスワード認証の危殆化にともないその安全性強化法として 2FA が提供されているが,その利用率は依然として低いままである.その原因は,2FA の利用によりコスト負担や利用上の懸念があるからだと考える.そこで本研究ではその原因の 1 つと考える「物理デバイスの所持」という要件を不要にする 2FA 手法について検討し,個人認証を行う Web ページの URL を 2nd factor として秘密情報化する手法を提案した.考察の結果,提案手法の操作方法は既存のパ スワード認証とほとんど同じでありつつも,パスワードリスト攻撃やフィッシング攻撃への対策になることについて議論した.多様な Web サービスが存在する中で,既存の 2FA の適用がコスト面で困難なサー ビスや 2FA の利用要件を満たすことが困難なユーザに対し,パスワード認証よりも安全な新たな個人認証の選択肢を提供しうる手法であると考える., We propose a two-factor authentication (2FA) that does not require the possession of a physical device. 2FA is provided as an option for a user authentication in major web services. However, its adoption rate remains low. This is due to the cost burden and concerns about the use of 2FA. To remedy the issues, we propose an alternative 2FA scheme that assigns a user authentication page to each user, and the URL is considered one of confidential information. Through the discussion, the following two advantages are clarified. (1) The operation of the proposed method is almost the same as the conventional password authentication. (2) The proposed method can improve the security against credential stuffing attack and phishing attack. We believe that the proposed method can provide a new option for users who cannot use existing 2FA schemes and for service operators who are hesitant to provide them.},
