このコラムを少しでも読んでくださっている方なら、私が二要素認証(2FA)の大ファンであることをご存知でしょう。これは、パスワードと何かを組み合わせることで、他人や悪意のある第三者がリモートからアカウントにアクセスするリスクを軽減する認証方法です。しかし、二要素認証を許可しているアカウントに二要素認証を導入することに関して懸念があります。それは、二要素認証が失われてしまうことです!
最近、テクノロジーに詳しい同僚と話していたところ、驚くほど多くの人が、二要素認証を有効にすると、システムクラッシュや、必要なトークンやシークレットが保存されているスマートフォンの故障・紛失といったリスクにさらされるのではないかと懸念していることがわかりました。二要素認証を有効にしないと、自分のデバイスに永久にアクセスできなくなるのではないかと心配していました。これは全く理にかなった話であり、二要素認証を使い始める際に、こうした事態を防ぐための計画を立てることができます。
簡単におさらいすると、二要素認証システムはほとんどの場合、パスワードと、身近にある他のもの(コードを受信するデバイス、コードを生成するアプリ、あるいは指紋リーダーのような生体認証デバイスなど)を組み合わせて使用します。二要素認証システムでは、パスワード入力時に保存されない要素やパスワード入力に関連しない要素は要求しないため、二段階認証システムの方が正確です。
(キーフォブやアクセス カード スタイルのコード ジェネレーター、または RFID ベースのリーダーなどの 2 要素デバイスを使用している場合は、通常、物理的なコンポーネントがあるため、アクセスを回復するためのプロセスが異なります。)
始める前にバックアップしてください
Google Authenticatorのような「時間ベースのワンタイムパスワード」(TOTP)と呼ばれるものをシードする方式を採用しているシステムでは、この追加保護を有効にすると、スマートフォンやタブレットでスキャンできるQRコードが提供されます。また、テキストベースの同等の機能を提供するシステムもあります。
Google では、2 番目の要素に関するさまざまなパラメータを設定でき、設定後に変更することもできます。
これらのシードコードは、現在使用しているアカウントシステムと独自の認証アプリの両方でTOTPを生成するための基盤として使用されます。また、シードコードをキャプチャして安全に保存しておくことで、アプリがインストールされているデバイスにアクセスできなくなったり、アプリが回復不能なクラッシュを起こしたりした場合でも、同じシードコードで認証アプリを再シードできます。QRコードのスクリーンキャプチャや写真撮影、テキストのコピーも可能です。(QRコードにテキストが含まれていない場合にテキストをデコードするには、iOS版Quick Scanなどのリーダーをご利用ください。)
コードをバックアップ・同期するアプリを使うこともできますが、賢明かどうかは慎重に検討する価値があります。Authyは、GoogleスタイルのTOTPと互換性のあるシンプルなマルチプラットフォームシステムで、オプションで同期も可能です。基本的なアプリと機能は無料です。AgileBitsの1Passwordは2015年初頭にTOTPのサポートを追加し、プログラムの他の機能と同様に、デバイス間で同期できます。
シードコードの電子コピーを保管したり同期したりするとリスクが生じますが、TOTPの主な利点は、単一のパスワードだけではもはや唯一の防御線ではなくなることです。(AgileBitsはTOTPサポートの発表でこの点を分かりやすく説明しています。)Authyと1Passwordは、情報を復号可能な方法で保存しないため、強力なパスワード(およびオプションでTouch IDの使用)を使用することで、TOTPは高度なセキュリティで保護されます。スクリーンキャプチャ、写真、コード、または基になるテキストを保存する場合は、同様の暗号化プロセスを使用してアクセスを防止してください。
回復への道筋を設定する
Authy は TOTP を読み取り、オプションでデバイスやプラットフォーム間で同期します。
2段階認証や2要素認証システムを採用しているサイトは、ログインできなくなった場合に抜け道を提供しています。その方法はサイトによって大きく異なりますが、最も一般的なものは以下のとおりです。
バックアップコード。Googleなどのサイトでは、アクセスは許可するものの(その名の通り)再利用できない静的なワンタイムコードのリストが作成されます。これらのコードはアプリが生成するTOTP(自動生成パスワード)とは完全に切り離されており、TOTPの一般的な最大1分間のタイムアウトでは再利用できないため、信頼できるコンピュータから離れているときにも便利です。多くのサイトでは、重要なアカウント用にこれらの静的コードを印刷して持ち歩くことを推奨しています。ローカルデバイスに暗号化して保存することもできますが、パスワードが強力で、オンラインで使用しているものとは異なるものでない限り、リスクが高まります。重要な制約は、リモートでパスワードを盗み取ることができた人が、これらのワンタイムコードにもアクセスできないようにすることです。
代替メールアドレス。一部のサイトでは、アカウントにメールを送信することでアクセスを回復できます。そのアカウントは、既にサイトに登録されているメインのメールアドレスである場合もあれば、別のメールアドレスを要求される場合もあります。これにより、同一パス上の単一障害点によって第三者が2FAで保護されたアカウントにアクセスする可能性が低くなると考えられます。
リカバリコード。Appleの2段階認証システムは、iOS 9/El Capitanの2FA(2要素認証)に段階的に移行しており、利用登録時に固有のコードが発行されます。このコードは、セキュリティ上の懸念からアカウントがロックされた場合、または信頼済みのデバイスと関連付けられた電話番号すべてにアクセスできなくなった場合に、唯一の復旧手段となります。(Appleの2FAは技術的には依然として2段階認証ですが、万が一すべてを失った場合に備えて、人間が介入する復旧プロセスが用意されています。)
多くのサイトではSMSを使ってワンタイムコードを送信するため、その「要素」である電話番号への完全なアクセスを失う可能性は大幅に低くなります。ほとんどの国では、携帯電話会社がテキストメッセージの受信可能な番号へのアクセスを管理しており、携帯電話を紛失したり盗難にあったりすると、その端末を無効にして別の端末でその電話番号を有効にする必要があり、不便です。妻と私は、可能な限り互いの携帯電話をバックアップとして追加しています。
比較的稀なケースですが、アカウントの管理権を失い、その番号を復元しようとしても、通信事業者があなたが正当な所有者であると確信できない場合があります。より一般的なケースとしては、10月のコラムで紹介したような代替SMSシステムを使用している場合、番号にアクセスできなくなり、取得する方法がなくなる可能性があります。
したがって、SMS ベースの要素を設定するときは、問題の電話番号に永久にアクセスできなくなった場合でも、別の方法があることを確認してください。
一歩ずつ
Amazonが一般消費者向けアカウントに2FAサポートを追加し、AppleがiCloudアカウント設定時の可用性を強調したことで、今後2FAを利用する人はさらに増えるでしょう。もし不安を感じていたなら、この記事が少しでも不安を和らげるのに役立つことを願っています。また、この情報が他の方の不安を和らげる助けにもなることを願っています。
