2段階認証、2要素認証とは?

IT

私たちは普段インターネットで色々なサービスを使用しています。

IDとパスワードを使って、ログインしている方はまだまだ多いと思います。

様々なWEBサービスを使って、IDとパスワードを使いまわしていたり簡単なパスワードにしていませんか?

スマートフォンの普及に伴って多くの人がTwitterやFacebookなどのSNSやGoogleやMicrosoftなどの統合サービス、最近では〇〇Payなどの決済サービス、インターネットバンキングなどこれらすべてがスマートフォンで出来てしまいます。

決済サービスやインターネットバンキングなどは最初からセキュリティが高くなっているのも多いと思います。

そこで良く聞くのが2段階認証、2要素認証。

今日はそんなセキュリティを高める2段階認証、2要素認証について書いていこうと思います。

目次

2段階認証とは?

2段階認証とは言葉の通りで2つの段階を進みログインする方法です。

通常ログインする際にIDとパスワードを求められますが、この後(2段階目)に別の認証を使う事でセキュリティを高めることを言います。

2段階認証、2要素認証について

2段階認証=2要素認証と思われがちですが、細かく言えば違います。

Twitterなどでは2要素認証と言われてます。

2要素認証とはログインする際にID、パスワードの他にSMSや認証アプリなどの違う「要素」を加えた認証方法になります。

2段階認証はログインする際に2回の認証をする事になります。

しかし私たちユーザーがこの違いを考えることは必要ないので、言葉を2段階認証で済ませているのが現状です。

なぜ2段階認証が必要なのか?

インターネットが普及し始めの時(1995年Windows95から)は主にパソコンでネットサーフィンをやる程度でインターネットに接続するためのサービス(インターネットプロバイダ)のIDとパスワードを覚えていればいいぐらいでしたが、インターネットの普及と通信回線の速さと共にWEBサービスが充実してきました。

この頃からWEBサービスを利用する時に「秘密の質問」がIDとパスワード以外に必要になってきました。

現在ではスマートフォンの普及により多数のWEBサービスを利用しています。ネットショップやSNSだけでなくネットバンキングや決済サービスなど直接お金が結びつくサービスまでスマートフォンで出来てしまいます。

ネットバンキングなどは自社でワンタイムパスワードが発行されるアプリなどを用意しているのがほとんどですが、ネットショッピングやSNSなどのWEBサービスを利用している場合は「自衛」する必要があります。

中には強固なパスワードを設定してるから平気と考えるかもしれませんが、ニュースで良く見る「情報漏洩」は自分では防げません。IDとパスワードが悪意のある第三者に渡れば乗っ取られてしまいます。

スマートフォンの普及に伴い多数のWEBサービスを利用することにより情報漏洩のリスクは高まってきました。

このような経緯から自己防衛のためにも2段階認証が必要になってきたのです。

2段階認証の種類

2段階認証は自分に合わせて選べたりバックアップ用に複数選べたりします。

SMS

一番多いのがSMS(ショートメッセージ)で認証コードを受け取りログインする方法だと思います。

スマートフォンはもちろんガラケーでも受信できるため、ID、パスワードが漏れても登録した電話番号の持ち主しか認証コードを受け取れないのでセキュリティは高くなります。

メール受信

ID自体がメールアドレスになっているのが多く、もう1つメールアドレスが増えるのは煩わしいですが認証コード受け取り用の別のメールアドレスを登録することによってセキュリティを高めます。

ただしこのメールアドレスはキャリアメールやプロバイダメールなど「いつか変わるかも知れないメールアドレス」はオススメ出来ません。

なぜなら知らないうちにスマートフォンなどを別のキャリアなどへMNPなどした場合、認証コードが受け取れなくなります。つまりログイン出来なくなります。

Googleも現在はキャリアメールは設定できません。

認証アプリ

スマートフォンの認証アプリに登録することで2段階認証を行います。

2段階認証に必要な認証コードを「ワンタイムパスワード」で受け取れるので、スマートフォンの認証アプリに表示されている認証コードをログインの際に使用します。

一定時間が過ぎるとコードが書き換わる使い捨てのパスワードの事。

音声通話

2段階認証の登録に電話番号を登録し「音声でコードを受け取る」などにした場合の方法になります。

ログイン時に認証コードを受けるとき、登録した電話番号に電話がかかってきて自動音声で認証コードを読み上げてくれます。

携帯電話が無くても(あんまり居ないとは思いますが、、、)自宅や会社の電話で出来るので自宅などでしかログインしない場合には使えるやり方です。

物理デバイス

USBスティクなどをパソコンなどに挿し込んで使う方法です。USBスティクなどは使わないときは保管しておいて認証する時だけ使用します。

トークンはボタンを押すと認証コードが表示されそれを入力することによりログインをします。電池切れなどの心配もあったため現在はあまり使われていないと思われます。

生体認証

現在のスマートフォンでは当たり前の機能である指紋認証や顔認証など個人特定の情報でログインするために保管や盗難の心配が無いために広く端末の認証には使われています。

最後に

現在はほとんどのSNSやWEBサービスで2段階認証を使うことが出来ます。(楽天市場さんどうか対応してください2020年5月6日現在)

しかし個別のネットショップなどでは規模の違いもあり2段階認証はまだまだ望めないでしょう。

ネットショップ全部に同じメールアドレスID、パスワードを使ってると漏洩した場合恐ろしいことになりえます。

メールアドレスは仕方ないにしてもパスワードは推測しにくいものを個別に使いましょう。(ここが一番大事)

2段階認証も色々なやり方がありますが必ずバックアップ用に別の方法も登録するか、バックアップコードなどをメモしましょう。

例えばGoogleで2段階認証に認証システムアプリのみで使うとスマートフォンが故障や盗難にあった場合2度とログイン出来ない可能性もあります。

2段階認証は初めてだとわかりにくい所もありますがセキュリティを高めるために頑張って設定しましょう。