2段階認証と2要素認証の違いは何でしょうか? 以前2段階認証を使っていた人がmacOS Sierraにアップデートしたところ、Macのロックを解除できるwatchOS 3のオプションを設定しようとした際に不可解なエラーメッセージが表示され、イライラした経験があるのではないでしょうか。
はい、これは完全に理にかなっています。pic.twitter.com/d1NjGcPYe0
— ピーター・スターン (@petersterne) 2016 年 9 月 23 日
Appleはこれらを、アカウントを保護するための追加コードを含む2つの異なるシステムとして扱っています。しかし、2段階認証と2要素認証のどちらかを有効にしている人でも、どちらがどちらなのか、何が起こっているのかを理解するのは難しいのです。
(2 段階認証を使用していて、 macOS で iCloud ID を使用してログインできるように設定していた場合、切り替えると iCloud ベースの Mac ログインを放棄する必要があるため、状況はさらに複雑になります。この問題に対処するため、別の Mac 911 コラムを用意する予定です。)
一歩踏み出して考慮する
Appleは、2014年にセレブのiCloudアカウントへの恥ずかしい侵入事件を受けて、絆創膏と称する2段階認証を導入した。ソーシャルエンジニアリング(認証情報を聞き出す)、パスワード推測、iCloud以外のハッキングが使われたようだ。
この「2段階」方式は、一般的に2ファクタ認証(2FA)と呼ばれます。ファクタとは、ウェブサイトへのログインやデータの取得など、リソースへのアクセス権限を証明する認証情報です。2段階認証では、iCloud.comなど、一部のiCloud関連リソース(すべてではありません)にログインする際に、パスワードと、同じiCloudアカウントにログインしているiOSデバイスに送信されるコードの2つの要素が必要になります。
第二要素であるコードがなければ、パスワードを所有していても何の役にも立ちません。これは、クラッカーが大量のパスワードを入手する「ホールセール」攻撃と、標的のアカウントのパスワードを解読または入手する「リテール」攻撃の両方のリスクを最小限に抑える方法です。iOSデバイスに接続したり、誰かの携帯電話を入手したり、SMSをハイジャックしたりしない限り、パスワードは役に立ちません。
2段階認証は既存のiCloud、iOS、OS Xのエコシステムに急遽追加されたため、多くの制限がありました。「iPhoneを探す」と同じ経路を使い、Appleがそのシステム経由で送信するメッセージと同じようにコードメッセージが表示されました。Appleのすべてのサイトやサービスで動作するわけではありませんでした。リクエストの発信元もわかりませんでした。Mac OS Xでは動作しませんでした。さらに、設定は自分のデバイスではなく、Apple IDのウェブサイトから行う必要がありました。
それはあくまでも一時的な対策に過ぎず、2015年6月にAppleはiOS 9とOS X El Capitan向けに構築した、はるかに優れた実装をプレビューし、同年9月から段階的にユーザーに展開しました。この新しいシステムは両方のOSに深く統合されており、MacまたはiOSデバイスから設定できます。ログイン試行時におおよその位置情報を表示します。また、AppleのApple IDとiCloudベースのエコシステムのほぼすべてで必須となっています。さらに、コード送信のバックアップ方法として、SMSに加えて自動音声通話も追加されました。
2015 年 10 月から一部ユーザー向けに利用可能になり始めていたにもかかわらず、私のアカウントで使用可能と表示されるまでには 5 ~ 6 か月かかりました。
(実際には、どちらのシステムも真の2FAとは言えません。なぜなら、要素の基準は「あなたが知っている人物、あなたが持っているもの、そしてあなた自身」だからです。2要素認証システムでは、2つの要素、つまり「あなたが知っているパスワード」と「コードを受信できるデバイス」が選ばれます。電話やSMS、音声で送信されるコードは、あなたが何かを「持っている」ことを正確に証明するものではないため、2つ目のパスワードのようなものです。)
しかし、ここで問題なのは、Apple が 2 段階認証と 2 要素認証について説明している方法から、設定の際の混乱と不便さから、ほとんどのユーザーが 2 段階認証を利用しなかったということのようです。2FA の代替手段ははるかに優れており、設定が簡単で、セキュリティを構成するときにオプションとして表示されます。
2FAはiOS 9、watchOS 2、El Capitan以降でのみ機能するため、Appleは2段階認証を廃止していません。つまり、Apple IDサイトにログインするたびに2段階認証が利用可能として表示され、これが現在の混乱の一因となっています。
電源をオフにして、再びオンにする
ここまでの説明を踏まえて、2 段階ログインから 2 要素ログインに切り替えて、Watch によるロック解除機能を有効にするために必要な手順は次のとおりです。
始める前に:iCloudアカウントに接続されているデバイスが、本当に認証対象のデバイスのみであることを確認してください。appleid.apple.comにログインし、「デバイス」セクションを確認してください。2015年のOSアップデート(iOS 9、watchOS 2、El Capitan)より前のバージョンを実行しているデバイスでは、2FAを使用できません。
appleid.apple.com にログインします。(2段階認証が実際に有効になっている場合は、2段階認証コードを使用して確認する必要があります。)
「セキュリティ」セクションに、「2段階認証」というラベルとその下に「オン」という文字が表示されます。表示されない場合は、手順6まで進んでください。(2段階認証が有効になっていない場合は、2段階認証を有効にするためのリンクが表示されますが、クリックしないでください。これは不要な機能です。)
セキュリティセクションの右側にある編集をクリックします。
[2 段階認証をオフにする] をクリックし、確認ポップアップでもう一度クリックします。
Appleはアカウントを保護するために、セキュリティに関する質問を促します。現時点ではパスワードのみで保護されているため、セキュリティに関する質問を作成する必要があります。質問にご回答の上、次へ進んでください。
アカウントに関連付けられている任意のデバイス (Mac または iOS) に移動し、以下の適切な手順に従います。
セキュリティ パネル (および iOS の同様のビュー) では、2 要素認証を管理できます。
Macの場合:
iCloud システム環境設定パネルを開きます。
[アカウントの詳細]をクリックします。
プロンプトが表示されたらパスワードを入力します。
[セキュリティ]タブをクリックします。
「2要素認証をオンにする」をクリックし、指示に従います。
iOSの場合:
[設定] > [iCloud]をタップします。
Apple IDをタップし、求められたらパスワードを入力します。
[パスワードとセキュリティ]をタップします。
「2要素認証をオンにする」をタップし、指示に従います。
バックアップの電話番号は1つだけではなく、複数用意することをお勧めします。信頼できるパートナー、家族、親しい友人がいる場合は、その人の電話番号も追加してください。火災、事故、侵入、強盗などでハードウェアが紛失または盗難に遭った場合、すぐにアカウントにアクセスしてロックダウンしたり、データを復旧したりしたい場合に役立ちます。
「セキュリティとプライバシー」環境設定で、Watch を使用して Mac のロックを解除するように設定します。
ついに(ついに!)、WatchでMacのロックを解除できるようになりました。MacでBluetoothとWi-Fiが有効になっていること、そしてWatchとMacで同じiCloudアカウントを使用していることを確認してください。Watchにはパスコードを設定しておく必要がありますが、これはどちらにしても非常に良いアイデアです。
Macの場合:
「セキュリティとプライバシー」システム環境設定パネルを開きます。
[全般] ペインが表示されていない場合は、それをクリックします。
変更を加えるには、下部のロック アイコンをクリックし、パスワードを入力します。
「Apple Watch で Mac のロックを解除できるようにする」というチェックボックスをオンにします。
ステップ 4 でチェックボックスが表示されない場合は、2FA または同じ iCloud アカウントを使用するデバイスで何かが正しく設定されていません。
今すぐ Mac をスリープ状態にし、起動して、ロックを解除しましょう。
コーダ
友人のジョンは、私のちょっとした助けを借りて何とかこの問題を解決しましたが、その後行き詰まってしまいました。彼のWatchではMacのロック解除がまだできなかったのです。試行錯誤の末、ようやく解決に至りました。彼は私に下品なツイートを送ってきたので、その内容を、えーっと、以下の2つの手順にまとめました。
[設定] > [メッセージ] > [送受信]をタップします。
「My Apple ID を使用」をタップします。
これにより、iCloud 情報が Watch にプッシュされ、セットアップが完了しました。
