- WebAuthnとFIDOセキュリティキー :WebAuthnのローミングAuthenticatorは、YubiKeyなど、削除可能かつプラットフォーム間共通で、複数のデバイス上で使用できます。ローミングオーセンティケーターで認証するには、(USB・NFC・Bluetoothなどを介して)オーセンティケーターをデバイスに接続し、存在を証明(タッチするなど)します。
- WebAuthnとデバイスの生体認証 :WebAuthnプラットフォームAuthenticatorはデバイスに統合され、そのデバイスでのみ動作します。たとえば、MacBookのTouchBar、Windows Hello、iOSのTouch/FaceId、Androidの指紋/顔認証などです。これらは統合されたデバイスでのみ動作するため、デバイスの生体認証を登録する前に、ユーザーは少なくとも他の1つの要素をプロファイルに登録しておく必要があります。
- Guardianを使ったプッシュ通知 :ユーザーの事前登録済みデバイス(一般的には携帯電話やタブレット)にプッシュ通知を送信します。ユーザーはボタン1つでアカウントへのアクセスが即座に許可または拒否されます。プッシュ要素は、iOSとAndroidでGuardianモバイルアプリを使用して提供されます。
- ワンタイムパスワード(OTP) :ユーザーが自分の個人デバイスでAuthenticatorアプリ(Google Authenticatorなど)を使用ができるようにします。アプリが時間の経過と共に変化するOTPを生成し、それをアカウント検証の第2要素として入力することができます。
- SMS通知 :SMSを使ってワンタイムコードを送信します。Auth0は、認証を完了する前に、ユーザーにコードの入力を求めます。SMSを使ったMFAは、サブスクリプションプランのあるテナントにのみ利用することができます。
Auth0では、最も安全で便利な認証方法としてWebAuthn要素を推奨しています。詳細については、「WebAuthnを使ったFIDO認証」をお読みください。
MFAを使用するためには、管理者が少なくとも1つの要素を有効にしなければなりません。Auth0では、プライマリデバイスを失った場合でもアカウントにアクセスできるように、複数の要素をセットアップすることを強くお勧めしています。以下の3種類の要素を組み合わせるのが理想的です。
- プライマリとして、WebAuthn・Guardian・OTPのいずれか
- 予備として、1つまたは複数のSMS番号(サブスクリプションプランを利用しているテナントのみ利用可)
- 復旧コード