アレン氏は、Appleの2ファクタ認証(2FA)システムに何か問題があると考えている。これは、従来の2段階認証システムに代わるものだ。彼はMacBookとiPhoneの両方で認証済みだが、MacBookを使ってブラウザ経由でApple IDサイトやiCloud.comにログインすると…
…MacBookに地図が表示され、「許可しない」か「許可する」かを選択できるようになります。「許可」を選択すると、確認コードがポップアップ表示されます。この確認コードを使うと、問題なくログインできます。
iPhone がオンになっていると、同じ地図とコードが表示されます。
しかし、ここで問題なのは、MacBookでログインしているのに、同じMacBookで確認コードも受信してしまうことです。これは正常な動作なのでしょうか?
確かに少し直感に反するように思えます。一部のセキュリティ専門家がAppleの2FAを「本物の」2FAとは呼ばず、あくまでも2段階認証プロセスだと考えているのも、このためです。真の2FAは、あなたが知っていること、あなたが持っているもの、あるいはあなた自身の何か、そのうちの2つで構成されます。一般的には、パスワード、携帯電話やトークン生成デバイス、あるいは指紋がこれにあたります。(PIN、リーダーにかざすRFIDカード、あるいは網膜なども利用できます。)
第一要素は通常、パスワードまたはPINです。これは誰でもどこからでも入力できるため、世界的に安全とは言えません。第二要素は、ほとんどの個人および中小企業で使用されているコードで、パスワード入力に使用している経路とは別の方法で生成・送信されます。これにより、パスワードにアクセスできる人がコードにもアクセスできないようにします。
それで、これは良い考えですか?
Dropbox、Facebook、Googleにログインする際、時間ベースのワンタイムパスワード(TOTP)を使用できます。これは、SMSで送信されるショートコード、またはAuthyやGoogle Authenticatorなどの認証アプリで生成されるコードです。真の第二要素認証にするには、ログインに使用しているデバイスでコードを受信したり生成したりできないようにする必要があります。多くの場合、ログインに使用しているデバイスが同じであるため、セキュリティが低下します。
しかし、誰かがあなたのSMSの受信メッセージやあなたの携帯電話本体など、何かにアクセスする必要があるため、あなたのパスワードを知っている誰かがアカウントにアクセスする可能性は大幅に低くなります。そのため、依然として非常に有用です。
Appleは、2段階認証ではなく、2段階認証にさらに力を入れており、これは皆さんもご存知の通りです。Apple IDで2段階認証を設定してデバイスを信頼できるデバイスとして設定すると、そのデバイスは、OS XのiCloudコントロールパネルまたはiOSの「設定」>「iCloud」へのログインを除き、認証が必要なあらゆる接続でいつでも利用できるようになります。
そのため、OS Xで信頼できるデバイスからの認証を必要とするウェブサイトにログインすると、現在閲覧しているデバイスも含め、すべての信頼できるデバイスが認証の対象となります。信頼できるデバイスを誰かが物理的に所有している必要があるため、すべてのリスクが排除されるわけではありませんが、ほとんどのリスクは排除できます。
Mac 911に問い合わせる
私たちは常に解決すべき問題を探しています!スクリーンショットなど、必要に応じてスクリーンショットを添えて、[email protected]までメールでお送りください。Mac 911 では、メールでの返信でトラブルシューティングのアドバイスを提供したり、すべての質問への回答を公開したりすることはできません。
