最近は不正アクセスの被害が多くなってきているので、2段階認証(2要素認証、多要素認証、ワンタイムパスワード)の設定を勧めてくるサイトが多くなってきました。面倒だけど重い腰を上げて設定しようかな〜でも、よくわからないし・・・
- 2段階認証って何よ?
- え!アプリが必要なの?お金がかかるの?
- とりあえず、どのアプリを選べばいい?
- どう設定すればいいのだろう?
そう思うこと、ありませんか?
私は2段階認証を使いこなしています。2段階認証があるサイトは全てに登録しています。すでに数十のサイトを越えています。
そんな私でも使い始めたときは意味がわからなくて、どのアプリを利用すればいいのか分かりませんでした。
私が使い始めて困ったことや、疑問に思ったことを、これから2段階認証アプリの利用を考えている方に向けて解説します。
2段階認証ってなに?:スマホに通知される番号のこと
2段階認証という名称は、まだ浸透していないのが現状です。使っているユーザーには当たり前なんですけど、使っていないユーザーの方が大多数です。
とは言っても、名称を知らないだけで知らず知らずのうちに利用しているユーザーが多く居ます。
Apple製品のMacBookやiPhoneを利用するとき、LINEで機種変したとき、などは2段階認証を利用しています。
同じような名前・言い方がいっぱいあるぞ
2段階認証という意味を難しくしているのは、同じような名称が多くあるからです。
- 2 段階認証
- 2 要素認証
- 2 ファクタ認証
- 多要素認証
- ワンタイムパスワード
正確に説明すると「意味が違うもの」「言い方が違うだけのもの」などあるのですが、利用するユーザーは気にしなくて大丈夫!だって、目的は一緒、アプローチがちょっと違うだけ。
一般的によく利用される名称は「2段階認証」です。これだけ覚えればOKです。
「2段階認証」とは、スマホに送られてくる 4 ~ 6 桁ぐらいのコードを使ってログインする方法のことです。
送られてくるコードは、利用するたびに変更されます。1回利用すると役目を果たして使えなくなります。
つまり、使いきりのパスワードなので、このコードを「ワンタイムパスワード」と呼んでいます。
なんで2段階認証が必要なの?
最近、よく耳にするようになった2段階認証、なんで必要になっているか知っていますか?
理由は簡単です。
ハードウエアとソフトウェアの進歩が目覚ましい状況です。
今までは不正アクセスするために掛かる時間が天文学的な数字だったのが、今ではあっという間です。
もし、IDとパスワードが漏えいしたら不正アクセスを防ぐ方法がない。つまり、2段階認証はログインIDとパスワードに加えて、第3のコードを本人だけに送付して安全性を確保しています。
覚えていますか?
2019年の 7pay(セブンペイ)不正利用の問題
2段階認証があればサービス廃止にならなかった
2段階認証で送信されてくる 4 ~ 6 桁のコードは有効期限があるため、もし送られてきたコードが漏えいしても、有効期限が非常に短いので不正利用するのが難しい。つまり、安全に認証できるということです。
認証アプリ Authenticator なんて呼ぶの?
2段階認証に利用する認証アプリを「Authenticator」と言います。
読み方は「オーセンティケイター」で「認証コード」「ユーザー識別」って意味の名詞です。ド直球な名前です。
認証アプリは色々な会社が提供しています。これから2段階認証アプリを使い始めようと考えている方におすすめなアプリを説明します。
真面目に2段階認証の仕組みを解説
2段階認証で利用されるワンタイムパスワードは、パスワードで利用するコード(英数字)を生成する仕組みが色々とあります。が・・・種類を覚える必要はありません。
現在、主流になったTOTP(Time-based One-Time Password)方式だけ理解すれば大丈夫です。TOTPが主流になったのは、スマホが普及したことが大きいです。
Time-Based と説明されている通り、「時間」によってワンタイムパスワードが計算されます。計算式を使うと、ある時間は必ず同じ答え(コード)になることを利用した仕組みです。
スマホは、タイムサーバーから正確な時間を受信し自動的の補正されています。
認証サーバーとスマホは、同じ時間が設定されているので別々に計算したとしても答え(ワンタイムパスワード)が同じになるので認証で利用されます。
おすすめアプリ 3選:Microsoft , Google , 1Password
無料ならMicrosoft , GoogleのAuthenticator どっちでも可
こだわりがなければ、無料で利用できるマイクロソフトかグーグルのAuthenticatorを選んでください。
- Google Authenticator
- Microsoft Authenticator
本当にどっちでも構いません。機能は同じです。どちらも大企業なので間違いはありません。
Google Authenticator
Microsoft Authenticator
Googleのサービスを多く使っているのであれば、Google Authenticator を選べばいいし、マイクロソフトのサービスを多く使っているのであれば、Microsoft Authenticator を選べばよい。
この程度の感覚で適当に選んで大丈夫です。
Microsoft と Google のAuthenticator のデメリット
Microsoft と Google のAuthenticator どちらのアプリも機能や性能は過不足なく十分です。機能不足も無いし、アプリがバグで落ちるといったこともありません。
ただ、問題が1つだけあります。
「スマホのストレージ内だけ」の重要性がピンと来ない方は、今までに辛い思いをせずに済んだ方です。
漏洩リスクが高いので危険と言いたいわけではありません。もしログインする為のワンタイムパスワードが通知されなかったら・・・
つらく悲しい経験をした方は、フラッシュバックのように記憶が蘇ってきたことでしょう。ユーザーが困る場面に遭遇する可能性があることを言いたいんです。
どんな場面で遭遇するが具体的に説明します。
- スマホを機種変したときデータ移行を忘れた
- スマホが壊れたらデータ復旧ができない
悲しい思い出 ケース1
機種変したときにバックアップからデータが自動で復元されません。
バックアップ設定を行っていても、必要な情報はユーザーが手動でデータ移行を行う必要があります。LINEの機種変をイメージしてください。一緒です。
手順は非常に簡単なんですが「ユーザーは移行作業を忘れる!」これが一番の大問題です。
スマホの入替えは2,3年に1回ぐらいしかしない方が大半です。新機種が出たら乗り換えるという方でも年1回です。まあ、記憶の彼方に行ってしまいます。
旧スマホを初期化したり、売却やキャリアに返却したり、すると高確率で復元ができません。
ワンタイムパスワードが通知されなくなり、登録サイトにログインできなくなる。
悲しい思い出 ケース2
認証アプリのデータは、スマホ内に保存されています。しかし、重要な保存データはバックアップの対象外です。つまり、スマホが壊れてしまったら復元させる手順がありません。
関連記事 機種変更 スムーズに移行できるAuthenticatorアプリ 完全ガイド
ワンタイムパスワードが通知されなくなり、登録サイトにログインできなくなる。
使えなくなる原因はアプリじゃなく、ユーザーにあることが多いです。
逆に言えば、どちらも自信があれば、全く問題はありません。Microsoft と Google のAuthenticator おすすめアプリです。
- 移行を忘れない
- スマホを壊さない
有料だけど絶対おすすめ 1Password:消失のリスク防止
1Password は認証アプリではありません。本来の機能はパスワード管理アプリです。
2段階認証も対応しているよ!という位置づけです。
メインの機能はパスワード管理なので、2段階認証も一元管理ができちゃうので、利用ユーザーは管理が楽です。
そして一番のメリットは、重要なデータはすべてクラウド上に保存されている。データ消失のリスクをとる必要がない。
つまり、ユーザーは使うだけで、他を何も気にする必要がない。
- 機種変してもアプリを起動するだけで今まで通り
- スマホが壊れても、新スマホを起動するだけで今まで通り
データを安全に管理してくれているメリットは、利用するユーザーに何ものにも代えがたい安心を提供してくれます。
私は1Password アプリを愛用しています。1Passwordを利用できないは「スマホを自宅に忘れる」と同じ意味です。
1Password アプリについて詳しく解説した記事がありますので詳しく知りたい方は読んでください。
関連記事 1Password(ワンパスワード)とは?使い方の基本ガイド
あとがき
ログインIDとパスワードだけでは、不正アクセスを防ぐことができません。時代と共に認証方法もアップデートする必要が出てきています。しかし、利用するユーザーのマインドが追いついていない。
今までの方法にこだわらず新しい情報を吸収しましょう。これからは2段階認証アプリを使って不正アクセスを防止しましょう。無料アプリで機能は十分です。ただし、リスクもしっかりと認識して安全性を高めましょう。