ひとことで説明すると

2段階認証は認証を2回行うことに注目した言い方です。
2要素認証は違う種類の認証要素を2つ使うことに注目した言い方です。

2段階認証は確認の回数に注目し、2要素認証は認証に使う要素の種類に注目することを比べた図

認証の3つの要素

認証では、よく次の3種類の要素で考えます。

要素
知識情報パスワード、暗証番号、秘密の質問
所持情報スマホ、認証アプリ、ワンタイムパスワード、セキュリティキー
生体情報指紋、顔、声、静脈

IPA(情報処理推進機構)は、記憶情報、所持情報、生体情報のうち2つ以上を用いた方式を多要素認証と説明しています。

2段階認証

2段階認証は、ログインなどで認証を2段階に分ける仕組みです。
例:

  1. パスワードを入力する
  2. 秘密の質問に答える

この場合、2回認証していますが、どちらも「知識情報」です。つまり、2段階ではあっても 2要素とは限りません。

2要素認証

2要素認証は、違う種類の要素を2つ使います。
例:

  1. パスワードを入力する
  2. スマホの認証アプリで確認する

この場合は、「知識情報」と「所持情報」を使っています。パスワードが漏れても、スマホや認証アプリがなければログインしにくくなります。

よくある勘違い

  • 「2段階認証なら必ず2要素」→ 違います。 同じ種類の情報を2回聞くだけの場合もあります。