2要素認証は、パスワードに加えて別の確認手段を使い、本人であることを確かめる仕組みです。
この記事では、パスワードだけでは守りにくい理由と、2要素認証の基本的な考え方を分かりやすく整理します。
2要素認証とは
2要素認証とは、ログイン時に「知っているもの」と「持っているもの」など、性質の違う2つの要素で本人確認を行う方法です。
たとえば、パスワードを入力した後に、スマートフォンの認証アプリやSMSに届く確認コードを使って追加確認をします。
パスワードが他人に知られても、もう一つの確認手段がなければログインしにくくなるため、アカウントを守る力が高まります。
パスワードだけでは不十分な理由
パスワードは大切な防御手段ですが、入力する本人だけが知っている状態を保つのが難しい場合があります。
同じパスワードを複数のサービスで使い回すと、どこか一つで漏れた情報が別のサービスへの不正ログインに使われるおそれがあります。
また、偽のログイン画面に入力してしまうフィッシングや、推測されやすい文字列を使っている場合も危険です。
そのため、パスワードを強くするだけでなく、ログイン時の確認をもう一段増やす考え方が重要になります。
主な2要素認証の種類
- 認証アプリの確認コード: スマートフォンのアプリに表示される短いコードを入力する方法です。コードは一定時間で変わります。
- SMSやメールの確認コード: 登録済みの電話番号やメールアドレスに届くコードを使います。手軽ですが、受信先の管理も重要です。
- プッシュ通知による確認: ログイン時にスマートフォンへ通知が届き、本人が承認します。身に覚えのない通知は承認しないことが大切です。
- セキュリティキー: 専用の機器を使って本人確認を行う方法です。物理的に持っていることが確認要素になります。
注意したい点
- 2要素認証を設定していても、確認コードを他人に教えると不正ログインにつながる可能性があります。
- 電話やメール、チャットで「確認コードを教えてください」と求められても、正規の本人確認とは限りません。
- 身に覚えのないログイン通知や承認依頼が届いた場合は、承認せず、パスワード変更やログイン履歴の確認を行います。
- スマートフォンを紛失した場合に備えて、復旧用コードや予備の認証手段を安全な場所に保管しておくと安心です。
取るべき基本対策
- 重要なアカウントでは、利用できる場合に2要素認証を有効にします。
- パスワードはサービスごとに別のものを使い、使い回しを避けます。
- 確認コードや承認通知は、本人がログインしたときだけ使います。
- 復旧用コードは、他人に見られにくい場所に保管します。
- 不審なログイン通知があった場合は、承認せず、公式サイトや公式アプリから設定を確認します。
まとめ
2要素認証は、パスワードに別の確認手段を組み合わせて、アカウントを守る仕組みです。
パスワードが漏れたり知られたりしても、追加確認があることで不正ログインを防ぎやすくなります。
特にメール、SNS、ネット通販、金融関連など、他のサービスや個人情報につながるアカウントでは、優先して設定する価値があります。
情報セキュリティに関する技術的なご相談 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「情報セキュリティに関する技術的なご相談」に関する情報です。
www.ipa.go.jp
あなたを守るツール
- 2要素認証アプリ: パスワードが漏れてもアカウント乗っ取りを防ぐ。
- パスワード管理アプリ: パスワード使い回しによる芋づる被害を防ぐ。
