毎日何百万人ものユーザーのオンラインアカウントが侵害されています。ダークウェブではパスワードリストが売買されており、悪意のある人物は自動化されたプロセスを利用して、多数のアカウントやサービスに対してパスワードを試しています。巧妙なフィッシング攻撃は、正規のサービスやカスタマーサポートを装い、ユーザーを騙してパスワード(またはパスワードリセットに必要な情報)を盗み出そうとします。
言うまでもなく、こうした事態に対する最善の防御策は、所有するすべてのアカウントに、それぞれ異なる、強力で推測しにくいパスワードを設定することです。1Password、LastPass、Dashlaneといった優れたパスワード管理ツールは、その管理に不可欠です。
しかし、強力なパスワードだけでは十分ではありません!さらにもう1つの保護層、つまり2FAが必要です。
Appleアカウントで2FAを有効にする方法は既に説明しましたが、他の アカウントはどうでしょうか?他のアカウントも同様に慎重に保護する必要があります。では、設定方法をご紹介します。
2FAとは何ですか?
二要素認証(通常2FAと略されます)とは、2つの「要素」からなる証拠を提示することで、特定のアカウントの所有者であることを証明する方法です。1つ目の要素は、パスワードやPINコードといった知識です。もう1つの要素は、特定の番号に送信されたテキストメッセージを受信できる携帯電話、USBキーフォブ、メールアドレスへのアクセスといった特定の物品の所持です。3つ目の要素は、指紋や網膜スキャンといった、個人に固有の情報である遺伝情報です。
家の玄関を考えてみてください。鍵だけで開けられるなら、それは1要素認証です。つまり、家の鍵さえ持っていれば大丈夫です。もし物理的な鍵と、電子錠に4桁の暗証番号を入力して開けなければならないなら、それは2要素認証(持っている鍵と知っている暗証番号)です。警報システムを設置することは、基本的に家に2要素認証を追加するようなものです。
一部の企業は、この種のセキュリティをMFA(多要素認証)または2段階認証と呼んでいます。これらの用語は技術的には2FAとは少し異なりますが、ほとんどのコンシューマー向けアプリケーションではほぼ同じ意味です。
言い換えれば、2FAは、あなたが知っている情報(パスワードまたはPIN)と、あなたが所有している情報(スマートフォンまたは物理的な鍵)または あなた自身の情報(指紋または詳細な顔スキャン)を組み合わせることで、アカウントを保護します。これは、誰かがあなたのパスワードを盗んだり推測したりしたとしても、アカウントにアクセスできないようにするための方法です。
もう一度強調しておきますが、2FAとは、パスワードを盗んだり、推測したり、何らかの方法でハッキングしたりした人がアカウントにアクセスできないようにするための方法です。そのため、2FAは重要な安全対策となります。
SMS、メール、それともアプリ?
日常的な消費者アカウントの 2FA 方法の大部分は、通常のパスワード (または PIN) と、他の 3 つの証明方法のいずれかを組み合わせたものになります。
メール:ログインしようとすると、アカウントに既に登録されているメールアドレスに、短縮コードが記載されたメールが送信されます。このコードは有効期間が限られています。メールを確認し、コードを入力してアカウントにアクセスしてください。
テキストメッセージ:このサービスは、登録されている電話番号に、コード(通常は6桁の数字)を含むSMSテキストメッセージを送信します。このコードの有効期間は数分間です。
TOTPアプリ:スマートフォンの専用アプリが、サービスと共有された固有の秘密文字列に基づいてTOTP(タイムベースのワンタイムパスワード)を生成します。このパスワード(通常は6桁の数字)は30秒から1分間有効で、その後は別のコードが生成されます。
Authy のようなアプリは、多くのサイトやサービス用のワンタイムコードを生成します。
これらの方法の中で、TOTPアプリを使ったアプローチが最も優れています。優れた2FAアプリを1つ使用すれば、複数のサービスで同時に使用でき、メールでコードを受け取る(メールのログイン情報がハッキングされた場合は大変です!)かSMSでコードを受け取る(SIMジャッキングと呼ばれる手法で、詐欺師があなたの電話番号を新しいSIMカードに転送し、テキストメッセージを傍受する可能性があります)よりも安全です。
TOTPアプリはテキストメッセージほど便利ではありません。新しいパソコン、ブラウザ、デバイスからログインするたびに、スマートフォンにアプリをインストールして開き、コードを確認する必要があります。しかし、利便性、普遍性、セキュリティの最適な組み合わせであるため、お勧めの方法です。私たちのお気に入りのTOTPアプリはAuthyですが、LastPass Authenticator、Microsoft Authenticator、Google Authenticatorもぜひチェックしてみてください。
残念ながら、一部のサイトやサービスでは、メールまたはSMS経由の2FAのみを提供しています。その場合は、利用できるものを利用しましょう。それでも、2FAを全く有効にしないよりははるかに安全です。
ハードウェアキーはどうですか?
ハードウェアキーデバイスは、アカウントをロックダウンする最も安全な手段と言えるでしょう。アカウントにログインするには、ハードウェアキーフォブを物理的に盗まなければなりません。
MacとiPhoneユーザーにとって最適な選択肢は、おそらくYubiKey 5Ciでしょう。USB-CとLightningの両方の接続に対応し、非常に幅広いセキュリティプロトコルとサービスをサポートしています。欠点は?キー1個で70ドルもするのです!もっと安い選択肢もありますが、いずれにせよ、常に持ち歩く必要がある物理的なデバイスが増えることになります。そうしないと、アカウントにアクセスできなくなります。
そして、それを紛失した場合(それは小さいです!)、それを有効にしたすべてのサービスを調べて、アカウントへのアクセスを回復するための二次認証方法を使用する必要があります。
YubiKeyのようなハードウェアキーは高速で安全ですが、安くはありません。また、持ち歩くのも大変です。
ハードウェア キーは好みに応じて最適ですが、セキュリティ、コスト、使いやすさの最適な組み合わせは TOTP アプリであると考えられます。
2FAで人気アカウントを保護する方法
Apple IDでの設定方法については既に説明しました。これは重要ですが、それだけでは終わりません。他の多くのアカウントもセキュリティ対策が非常に重要です。
2FAを有効にする手順は、アカウントやサービスごとに異なります。Googleで簡単に検索すれば手順は見つかりますが、ここでは最も人気のあるインターネットアカウントのリストと、2FAの有効化方法を説明したヘルプページへのリンクをまとめました。
グーグル
Google はさまざまな 2FA 方式をサポートしており、その仕組みを説明する便利なサイトも用意されています。
ツイッター
Twitterは、インターネット上で最も頻繁に、そして公に侵害されているアカウントの一つです。アカウントで2FAを有効にする方法をご紹介します。
フェイスブック
Facebookの利用者は20億人を超え、ハッカーにとって巨大な標的となっています。このヘルプ記事では、2段階認証(2FA)の設定方法をご紹介します。
インスタグラム
Instagram には 2FA のヘルプ ページがあり、アカウントで 2FA を設定する方法が説明されています。
アマゾン
Amazonアカウントには支払い方法が関連付けられている可能性があり、あなたのお金を使って商品を購入しようとする窃盗犯にとって格好の標的となります。このヘルプページでは、2段階認証を有効にする方法をご案内しています。
レディット
他の主要ソーシャルメディアアカウントと同様に、Redditアカウントも2FAで保護する必要があります。その方法については、こちらのヘルプページをご覧ください。
マイクロソフト(Xbox)
ご自身のMicrosoftアカウントをお持ちの方、仕事用のアカウントをお持ちの方、あるいは両方をお持ちの方も多いでしょう。Xboxアカウントをお持ちの方はMicrosoftアカウントであり、詐欺師やハッカーにとって格好の標的となっています。Microsoftアカウントで2FAを有効にする方法については、こちらのページをご覧ください。
プレイステーション
PlayStationゲーマーも2FAでアカウントを保護したいはずです。残念ながら、ソニーは2FAの方法としてテキストメッセージのみをサポートしています。しかし、何もしないよりはずっと良いでしょう。
任天堂
NintendoアカウントはSwitchやWii本体だけでなく、一部のNintendoモバイルアプリでも使用できます。他のゲームアカウントと同様に、2段階認証(2FA)を有効にしてアカウントをロックすることをお勧めします。NintendoはTOTPコードにGoogle Authenticatorを使用するように推奨していますが、他のアプリでも問題なく使用できました。
パスワードマネージャー
パスワードマネージャーは、あなたのすべてのパスワードを守る門番です。パスワードマネージャーで2FAを有効にしないのはもったいないですよね?パスワードマネージャーごとに2FAを有効にする方法が異なりますが、1Password、LastPass、Dashlaneのヘルプページはこちらです。
銀行口座
誰かがオンラインであなたの銀行口座にアクセスしたら、事実上、あなたのお金をすべて盗まれてしまう可能性があります。2FAでこれらの口座を保護しないのは愚かなことです。
銀行、信用組合、金融機関はあまりにも多く、ここで全てを網羅することはできません。ただし、お金を預けたり借りたりする場所では必ず2段階認証(2FA)を有効にしてください。クレジットカード口座や株式取引サービスも忘れずに。
幸いなことに、最近では多くの銀行がデフォルトで2FA(少なくともメールまたはテキストメッセージ経由)を有効にしています。しかし、より安全なオプションを提供している銀行もあるので、検討してみる価値はあるかもしれません。
