多要素認証(MFA)についてご存知ですか?
多要素認証(MFA: Multi-Factor Authentication)とは、アカウントへアクセスするためにパスワード以外の方法を使用することです。多要素認証には、ワンタイムパスワードをテキストメッセージとして送信したり、より高い安全性を確保するために、Googleの有料セキュリティキー「Titan セキュリティ キー」、無料のスマホアプリ「Twilio Authy」などを使用する方法などがあります。パスワードが侵害された場合や、すでに漏洩しているパスワードを再利用してしまった場合でも、多要素認証を使うことでアカウントの安全を保つことができます。
多要素認証は少し不便で、ログインに多少の手間がかかると思われているかもしれません。しかし、セキュリティが脆弱なことで、個人情報やお金が盗まれてしまうリスクを考えると、ログインに数十秒長くかかることは我慢できるのではないでしょうか。
2020年7月に起きたTwitterのハッキング事件は、多要素認証では防げない従業員に対するソーシャルエンジニアリングが原因でした。ハッカーは管理ツールを使ってアカウントのパスワードを再設定することができていました。
このニュースを聞いて、私はTwitterやPayPalで、テキストメッセージによる多要素認証を有効にしていることを思い出しました。この方法は他の多要素認証に比べて安全性が低く、注意が必要です。できる限り安全な多要素認証を導入しましょう。
Twitterでの設定方法
Twitterで多要素認証を設定する際は、「設定とプライバシー」→「セキュリティとアカウントアクセス」→「セキュリティ」→「2要素認証」をクリックします。アカウントに追加できる保護層として、「テキストメッセージ」「認証アプリ」「セキュリティーキー」から選択することができます。
テキストメッセージ:ハッカーが送信されたPINを無効化する様々な方法を編み出しているため、最も安全性が低い方法と言えます。しかし、認証アプリやセキュリティキーは難しそう、と思う場合は、まずはテキストメッセージでの保護だけでも設定しましょう。
認証アプリ:ワンタイムPINを生成する「Authy」や、GoogleやMicrosofなどのベンダーが提供している無料スマホアプリを使用します。アプリを起動し、アクセスしたいウェブサイトをタップ、6桁のワインタイムPINをコピーします。PINは30秒ごとに更新されます。スマートフォンを持っていない場合、この方法を使用することはできませんが、持っている場合、比較的簡単なプロセスです。まず、Twitterのパスワードを再入力します。その後、Twitterと認証アプリを連携するため、スマートフォンでQRコードを読み取ります。最後に、アプリ上に表示されたPINをTwitterに入力します。
セキュリティキー:秘密のPINがハードウェアに埋め込まれているデバイスです。認証アプリを通して、セキュリティーキーを選択することもできます。PINコードをコピーする代わりに、デバイス上のボタンを押すだけで、ログイン情報が配信されます。この方法を選択する場合、紛失したり、職場や車の中にデバイスを置いてきてしまった場合に備えて、少なくとも2つのセキュリティキーを持っておくことをおすすめします。
Facebookでの設定方法
ウェブブラウザを使用している場合、右上のナビゲーションバーにある小さな三角をクリックし、「設定とプライバシー」→「設定」→「セキュリティとログイン」→「二段階認証を使用」の「編集」ボタンをクリックします。アカウントのパスワードを再入力すると、このページにたどり着き、Twitterと同じような選択肢からバックアップ方法を追加することができます。多要素認証の設定が終わったら、「セキュリティとログイン」に戻り、特定のデバイスからの許可されたログインを確認し、すべてご自身のデバイスであることを確認してください。
Pinterestでの設定方法
画面右上の小さな三角をクリック、「設定」→「セキュリティ」を選択し、2段階認証を有効にします。携帯番号を入力すると、ワンタイムPINコードが送信されます。Authyを使用する場合も、まずテキストメッセージ多要素認証を有効にする必要があります。
Snapchatでの設定方法
プロフィール画面から歯車アイコンをタップ、下にスクロールし「2段階認証」を選択します。認証アプリを有効にする設定が表示されます。すでに認証アプリをインストールしている場合は、自動的に選択、PINコードをコピーすることができます。
上記のアカウントにおいて多要素認証を導入する際、ブラウザで設定を行うことをおすすめします。スマートフォンだけで設定するとなると、アプリの切り替えが多く発生してしまうからです。
また、これら以外にも多要素認証で保護できるアカウントがあるか、考えてみましょう。例えば、銀行、保険、投資などお金にまつわるアプリは、多要素認証で保護することをおすすめします。
この記事は2020年8月3日に公開されたWhat is MFA (and why should you care)?の抄訳です。