パスワードだけで大丈夫？

昨今、セキュリティ対策として一般的なパスワードの使用だけでは不十分だと感じています。聞いたことや目にしたことがある方も多いと思いますが、「2段階認証」(=Two-factor authentication、略称 ”2FA“) をご紹介したいと思います。パスワードが盗まれたり、ハッキングされたり、不正利用される危険にある場合でも、2段階認証を設定することにより、オンラインアカウントへの不正アクセスを防ぐことができます。攻撃しようとする者は、物理的にあなたの携帯電話 (又は他の認証要素となるもの) を持っていて、尚且つあなたのパスワードを知り得なければアクセスするのは不可能だからです。

 

今回のアメリカ大統領選挙で、クリントン陣営のジョン・ポデスタ選対委員長のメールがハッキングされた件を挙げると、信頼していた同僚からと偽って送信された添付ファイルのマルウェアによってパスワードが盗まれたようです。もしポデスタ氏が2段階認証を利用していたら、第三者が知らないパソコンから不正入手した彼のパスワードを利用して、彼のメールアカウントにログインしようとした際、警告通知され、事前に危険を察知できたはずです。その結果、不正アクセスを防ぎ、すぐにパスワードを変更することができたでしょう。

 

2段階認証の「2段階」とは、1) あなただけが知っている情報（パスワードなど）および2) あなただけが保持しているもの (携帯電話機や指紋など) と言われています。例えば、インターネット上で銀行口座にアクセスする場合を例に説明すると、まずユーザーIDとパスワードでログイン認証をします。すると、次に追加のコード番号を求められます。銀行からこのコード番号を含むメッセージがあなたの携帯に送信され、あなたがこのコード番号を入力することで口座へのアクセスが認められるというものです。

 

2段階目の認証方法は、様々です。一部のウエブサイトでは、実際に電話をかけてボイスメッセージで認証コードを伝えるサービスを提供しています。認知度も高く広く支持されている”Google Authenticator “ は、インターネット接続や、2段階目の認証要素となる電話接続さえも必要のない2段階認証のアプリケーションです。スマートフォンやタブレットで使用されるもので、約30秒毎に独自の乱数を生成します。生成された乱数は、2段階目の認証コードとして使用されます。

 

2段階認証を用いても、100%の安全保障は難しいのですが、思いつきや日和見的なハッカーの違法なログイン行為によるリスクは大幅に軽減するでしょう。

 

現在では、Google、 Yahoo!、 Microsoft (Office 365含む)、 Dropbox他多数のサービスが2段階認証を推奨しています。もし、まだ2段階認証を利用したことがなければ、今利用しているサービスのなかから一つを選んでまず試してみることをお勧めします。Gmailの2段階認証の設定方法については、下記リンクのチュートリアルで紹介されています。

 

[日本語] http://www.ajaxtower.jp/gmail/2step-verify/index1.html
[英語] https://www.turnon2fa.com/tutorials/how-to-turn-on-2fa-for-gmail-2/

 

増加するログイン情報の盗難やランサムウェアによる不正行為により、2段階認証プロセスは今後、システムへのアクセスにおける一般的な方法となることは確実です。便利で簡単な認証ステップはそろそろ終わりにして、安全性の高いセキュリティで私生活・ビジネスの両方を守る準備をする必要があるかもしれません。