2段階認証というものにしたほうがいいですか?

パソコン・インターネットお悩み相談室

第45回 Q.2段階認証というものにしたほうがいいですか?

ニュースやSNSを見ていると、IDとパスワードが大量に盗まれたとか、アカウントを乗っ取られたとか、怖い話題がたくさん出てきてネットを使うのを躊躇してしまいます。

最近、セキュリティを高めるために2段階認証というのがあるそうですが、どういったものでしょうか?

A.2段階認証にするとセキュリティレベルがぐっとあがります

ネット上に限らず、基本的に会員制のサービスを使うときは「名を名乗り」「当人であることを証明する」という手順を踏みます。

ネットの場合は、名前がユーザーIDやメールアドレスで、当人であることの証明に「パスワード」があるわけですね。ユーザーIDやメールアドレスは当人以外が知ってる可能性もあるけど、パスワードは当人しか知らないはず、というわけです。

でも、メールアドレスとパスワードが大量に流出するなど、何らかの原因でメールアドレスとパスワードが悪さをしようとしている人に漏れることがあります。そんなとき、どう対処するか。

パスワードをマメに変更する、サービスによってパスワードを完全に使い分けるなどの手はありますが、けっこう面倒です。むしろ、定期的にパスワードの変更を求める方がユーザーは楽をしようと単純なパスワードを使いやすいので危険、という話もあります。

そこで登場したのが「2段階認証」です。ユーザーIDとパスワードに加えて、もうひとつ別ルートのチェックを入れましょうという考えです。これを行うと格段にセキュリティが向上します。

2段階認証の2段階目はなに?

2段階認証(アップルでは2ファクタ認証と呼んでいますが同じこと)の2段階目は何でしょう?

1段階目はユーザーIDとパスワードです。それらを入力してパスしたあとに、さらに2段階目として「認証コード」(確認コードやセキュリティコード、ワンタイムパスワードなどサービスによって名称は異なりますが基本的には同じです)を入力する作業が2段階目になります。

ユーザーIDとパスワードに加えてさらに入力が必要と聞くと、ちょっと面倒そうに思えるかもしれませんが、やってみると簡単です。

実際に2段階認証を設定したAmazonへログインする場合を見てみましょう。

ここでは「このパソコンのこのブラウザではじめてAmazonを使うとき」というシーン、たとえば、今まではIEでAmazonを使っていたけど、今度からChromeを使うことにした、という想定です。

よくありますよね。

2段階認証の基本的な手順はこの通り。

一度その端末とアプリ(ブラウザを含む)の組み合わせで認証してしまえば、その端末とアプリ(ブラウザを含む)の組み合わせは「信頼できる」ということになるので、次からは2段階認証は必要ありません。手間なのは最初のログイン時だけなのです。

なぜ2段階認証が?

ではどんなときに2段階認証が役立つのでしょう?
大事なのはここです。

どこかで誰かが貴方のユーザーIDとパスワードを入手したとしましょう。
そうすると上記のスライドの「3」はクリアされます。

でも「4」でひっかかります。認証コードは他人にはわからないからです。

もしどこかの誰かがひっそり貴方のIDとパスワードでログインしたら、貴方のスマートフォン(あるいは携帯電話)に突然「認証コード」が送られてくるのです。

もちろん、相手にはその数字はわからないのでログインすることができませんし、貴方にはそのメッセージで「どこかで誰かが自分のアカウントでログインしようとしている」ことがわかるので、パスワードを変更するなどの対処ができます。

認証コードは刻々と変化しているので、古い認証コードは何の意味もなしません。そのとき、リアルタイムで発行された数字だけが有効なのです。

これは安心できますね。

認証コードを入手するいくつかの方法

さきほどの例では、上記のスライドの「5」でSMSを使って認証コードが送られてきました。
ですが、他の方法もあります。

現在、主に使われている認証方法を4つあげてみました。どれにするか選べるサービスもあります。

SMSを使って送信する

先ほどの例ですね。Apple IDの場合はアップルのメッセージサービスを使って送られます。

Apple ID確認コードという名前で送られてきます。
認証コードをその都度生成するアプリを使う

認証用コードを生成するアプリがあります。認証用コードを生成するアプリを用意し、そこに表示された数字を入力します。Googleがそのアプリを用意しており、GoogleのみならずAmazonも対応しています。

「Google認証システム」で検索するとこういうアプリが現れます。これをダウンロードして使います。
Google認証システムにGoogleとAmazonを設定してある例です。ここに出る数字を認証コードとして使います。30秒ごとに新しくなるので、古い数字は何の意味もなしません。
● Google認証システム
Google認証システム

Google認証システムをGoogleアカウントの2段階認証プロセスで使用して、ログイン時のセキュリティを強化できます。2段階認証プロセスでは、アカウントへのログイン時にパスワードと確認コードの両方が必要になります。このアプリでは確認コードを生成でき、一度設定すればネットワーク接続や携帯電話回線を利用していない場合でも確認コードを受け取ることができます。

Get it on Google Play

ヤフージャパンは独自のワンタイムパスワードアプリを使います。

● Yahoo! JAPAN ワンタイムパスワード
Yahoo! JAPAN ワンタイムパスワード

Yahoo! JAPANのセキュリティー機能『ワンタイムパスワード』に対応したソフトウエアトークンアプリです。 本アプリケーションは、“30秒ごとに変化する、1回限り有効なパスワード(コード)”を生成します。 『ワンタイムパスワード』を設定すると、いつもの「Yahoo! JAPAN IDとパスワード」に、この“コード”での認証が追加されます。

Get it on Google Play
そのサービス内で生成されるコードを使う

そのサービスのアプリやサイトに認証コードを生成する機能を持っている場合、その数字を使います。FacebookやTwitterなどはSMSの認証に加え、この方法にも対応しています。

Facebookアプリの例です。アプリの「設定」からコードジェネレータを選ぶと、このように認証コード(Facebookはセキュリティコードと呼んでいます)が表示されますから、その数字を使います。
あらかじめ認証用コードを生成して記録しておく

手元にスマートフォンや携帯電話がない、あるいは圏外などのときのため、バックアップコードなどと呼ばれる認証用のコードをあらかじめ作っておくことができます。

そうするといざというとき安心です。

2段階認証をオンにするには?

では実際に2段階認証をオンにしてみましょう。

サービスによって手続きは違いますが、たいていは「アカウント」あるいは「設定」のメニューにあります。

ここではAmazonを例にとってみてみましょう。
Amazonの場合は「お客様のアカウント」→「アカウント設定を変更」→「高度なセキュリティ設定」にあります。

2段階認証を積極的に使いましょう

現在のところ、2段階認証に対応しているサービスは多く有りません。

Facebook、Twitter、Google、Apple、Amazonなどどれもユーザーが多く世界的に展開しており、つまり狙われやすいサービスといっていいでしょう。日本でもヤフージャパンが2段階認証に対応しています。

これらのサービスを使っているのならぜひ、2段階認証をオンにしましょう。

著名なアカウントは常に世界中から狙われているといっても過言ではありません。気がつかないうちにどこかから流出した情報を元に知らない人にアカウントを乗っ取られて詐欺に使われた、というケースもあり得るのです。

最初の1回は少々面倒ですが、一度認証してしまえばかなり安心できます。ぜひセットしましょう。

(※本記事の内容は2017年6月14日時点の情報です)

ひとことアンケートにご協力ください!

関連キーワード:

荻窪 圭 プロフィール
1980年代にパソコン雑誌のライターとしてデビューした老舗のIT系ライター。趣味が嵩じて、「古道研究家」や「猫写真家」と呼ばれることもある。最近はデジタルカメラやスマートフォンを中心に活動しておりデジタルカメラ評論家としての側面が強いが、かつては入門記事を多く手がけるパソコンライターとして、「ASAHIパソコン」「特選街」をはじめとする無数のパソコン誌・一般誌に執筆していた。