SNSやクラウドストレージ。こういったサービスはインターネットにつながってさえいればどこでも利用ができて便利ですが、利用にあたり個人情報の登録が必要なものも多いですよね。
サービス利用に必要となるユーザー名やパスワードを知られてしまうと、こういった情報が漏れるだけでなく、最悪の場合は第三者にアカウントを乗っ取られる危険も潜みます。
そこで万が一、ユーザー名やパスワードを漏えいしてしまった場合でも、アカウントへの不正アクセス・乗っ取りを防ぐために大切なのが「二段階認証」です。
キャッシュレス決済がぐっと増え、ネットショッピングでも「二段階認証」という言葉を聞くことも増えてきました。
主要なSNSの多くがこの機能に対応していることを考えると、セキュリティを高めるための有効な手段と考えられていることは想像できますね。
また筆者個人も過去に二段階認証を設定していたことで不正アクセスを防げた経験があるだけに、ぜひ活用をオススメしたいところです。
とはいえ「最近耳にすることは多いけど、実はイマイチどういった機能なのか理解していない……」なんて人もいるはず。
今回はそんな人のために、二段階認証がどういったものなのかをかんたんに説明します。同じようでちょっと違う「二要素認証」についても説明しますよ。
パスワードとは別のカギをかける「二段階認証」
インターネット上のサービスには、利用にあたりまず、ユーザー名やパスワードを用いてログインする必要のあるものがあります。この「ログイン」は違う言葉に置き換えると「認証」ともいうことができます。
すでに理解できた人もいるかもしれませんが、二段階認証とは認証を二段階にわける、すなわち“パスワードとは別にもうひとつカギをかける”しくみのことです。
多くの場合、ユーザー名やパスワードは、一度設定するとそれほど頻繁に変更することはないでしょう。それゆえ、その情報が第三者に知られると、知らぬ間にアカウントへの不正なアクセスも許しかねません。
そこで二段階認証の出番です。ログインする際、ユーザー名とパスワードのほかに、ユーザー本人しか知り得ないであろう、その場限りで有効なカギ(コード)の入力を求めることで不正アクセスを防ぎます。
このカギの発行方法には、あらかじめ登録しておいた電話番号あてにSMS(ショートメッセージサービス)で送る、あるいは専用アプリを使って自分で都度発行する、といったものがあります。
ただ現状、多くのサービスではSMSでコードを受け取る際も、専用アプリでコードを発行する際も、スマホを介すことがほとんどです。ユーザー本人が常に持ち歩いているであろうスマホがないと、ログインができないというわけです。
同じようで実は違う、「二要素認証」とは?
二段階認証が浸透しつつある一方、「二段階認証だけど、二要素認証じゃない」なんていうフレーズを聞いたことがある方もいるのではないでしょうか?
はたまた「えっ、二段階認証と二要素認証って違うの?」なんていう方もいるかもしれません。
ここでいう「要素」とは「ユーザーだけが知っているもの」「ユーザーだけが持っているもの」「ユーザー自身の身体的特徴(顔認証や指紋認証)」といった、認証するための「要素」のこと。この「要素」が複数(二つ)クリアできているのが二要素認証です。二段階認証の中でも「二要素認証」になっていることが安全のひとつの目安になります。
たとえば二段階認証でよく使う「IDとパスワード」×「電話番号を使ったSMS認証」というのは「ユーザーだけが知っているもの」と「ユーザーだけが持っているもの」の二要素なので、二要素認証。
しかし、たとえば二段階認証といっても「IDとパスワード」×「Facebookアカウントでの認証」だったとします。そのFacebookにログインするID(アドレス)とパスワードが同じだったら……それは二要素認証ではないので、二段階認証であっても安全性に疑問があります。
二段階認証だからといって安心せず、「二要素」になっているかどうかを確認するくせをつけておくといいでしょう。
Twitterを例に二段階認証の使い方を紹介
ここまで紹介した話のおさらいとして、二段階認証を設定済みのTwitterアカウントにログインする際の手順を例として紹介します。
まずはログインに必要なユーザー名とパスワードを入力します。
すると二段階目の認証情報を入力する画面に切り替わります。
このとき、あらかじめ登録しておいた電話番号あてに6ケタの認証コードが送られます。
届いたSMSに記載されている認証コードをしっかり覚え……。
これを入力し、送信すればログインが完了します。
なお多くのサービスでは、二段階認証を設定する際、万が一のときに使えるバックアップコード(こちらは有効期限なし、使い切り)もあわせて発行されます。
もし認証コードの送信先にしているスマホ(電話番号)を紛失してしまったといいう場合も、このバックアップコードを用いて早急にログイン、パスワードを変更すれば、第三者からの不正アクセスを防げる可能性があります。
今回例として紹介したTwitterだけではなく、FacebookゃInstagramといった主要なSNS、あるいはGoogleアカウントやMicrosoftアカウントといったサービスでも利用できる二段階認証。
ほとんどは各サービスの設定画面(セキュリティ関連の項目)内から設定できるので、大切な情報を守るためにもぜひ確認・利用してみてくださいね。
※この記事は2017年4月の記事を一部更新しています。
関連記事
・「フィッシング詐欺」ってどういうもの? 対策は?
・【今さら聞けない】Facebookで気をつけたい個人情報の取扱い
・LINE乗っ取り防止-PCでLINEにログインできませんでしたと通知がきた場合の対策