利用するサイトが増えれば増えるほど、どうしても同じものを設定しまいがちのIDとパスワードの設定と管理のあり方について前回の記事で紹介しました。
こうした不正ログインを防ぐため、最近ではいろいろなWEBサイトで「二段階認証」と呼ばれる仕組みが取り入れられています。これまでのIDとパスワードの組み合わせで本人確認をするほかに、もうひとつ本人確認の要素を増やすことによって安全性を高めるものです。
代表的なものとして、IDとパスワードを入力してログインをしようとすると、携帯電話へSMS(ショートメッセージ)で1回だけ有効なパスワードや数字が送られてくる「携帯電話認証」のもの、アプリや専用デバイスで表示される使い捨てパスワードを入力する「ワンタイムパスワード認証」のものがあります。
今回は前者の「携帯電話認証」を利用した二段階認証について紹介していきます。
手軽に利用できるSMSを利用した「携帯電話認証」
Instagramならば、アプリのプロフィール画面から「設定(オプション)」を選び、「二段階認証」メニューへ。「セキュリティコードをオンにする」をタップしてスイッチをオンにします。
アカウントに電話番号が登録されていない場合は電話番号の入力を求められるので、電話番号を入力して「次へ」をタップしたあと(既に電話番号が登録されている場合は二段階認証を「オンにする」ボタンをタップしたあと)に、SMSで認証コードが送信されてきます。この認証コードの入力が正しければ、二段階認証の設定が有効になります。
二段階認証を有効したときに注意をしておくことは「バックアップコード」を必ず手元に控えておくことです。スマートフォンのスクリーンショットを使って良いですし、紙へ転記しておくのもOK。なんらかの都合で(例えば、近くにSMSを受信する携帯電話が手元に無い、とか、電話番号を変えてしまったなど)二段階認証の認証コードを受け取ることができない場合、このコードを利用して二段階認証を有効にすることができます。
バックアップコードは二段階認証を設定した直後に控えるのが望ましいですが、もし忘れてしまっても、アプリのプロフィール画面から「設定(オプション)」「二段階認証」メニューを再び選べば、「バックアップコードを取得」をタップすることで確認することが可能です。
Instagramと同じように、Twitterでも二段階認証を設定できます。
Twitterアプリから設定する場合は、アカウントのメニュー画面から「設定とプライバシー」→「アカウント」→「セキュリティー」→「ログイン認証」と進み「ログイン認証」のスイッチをオンにします。
Twitterもアカウントに電話番号が登録されていない場合は入力をしたのちに二段階認証が有効になります。そして、設定した直後にはバックアップコードが表示される、などの基本的な設定の流れはInstagramと同じです。
「携帯電話認証」を利用する上で注意すること
「携帯電話認証」による二段階認証は「ワンタイムパスワード認証」よりも手軽に設定をすることができますが、ただし、下記の点に注意が必要です。
(1)携帯電話認証で紐付けできるのは「1アカウントにつき電話番号は1つ」
(2)SMSを受信できない(海外にいるときなど)はコードを受け取れないことも。バックアップコードを必ず控えておく
特に、バックアップコードを控えておくことは、(2)のケースにおいては二段階認証を利用する上でなによりも重要なことと言えます。
最近、Instagramでアカウントが乗っ取られる被害が報告されています。ただ、二段階認証を設定することが推奨されているものの、現状、SMSを用いた二段階認証しか設定をすることができません。
将来的に、電話番号やSMSなしでもできる二段階認証を導入するとメディアで報じられており、Instagramに限らず、さまざまなソーシャルメディアはアプリや専用デバイスで表示された使い捨てパスワードを入力する「ワンタイムパスワード認証」の仕組みが一般的なものとなっていくはずです。
第29回で紹介したような、何らかの方法で入手した特定のサイトやサービス利用者のIDとパスワードがセットでリスト化された情報を使い、ほかのウェブサイトでも不正アクセスされてしまう「アカウントリスト攻撃(パスワードリスト攻撃、リスト型攻撃)」など、ある程度の不正ログインは「携帯電話認証」でも防ぐ一助になります。
ただ、強い悪意をもった高度なハッキングに対しては残念ながらSMSを使った「携帯電話認証」による二段階認証は完璧ではない可能性も指摘され始めています。
GoogleアカウントやFacebookではSMSを使わない、アプリで表示される使い捨てパスワードを入力する「ワンタイムパスワード認証」の仕組みを既に提供しています。また、Twitterも先に紹介したSMSを用いた二段階認証を設定したあとに「ワンタイムパスワード認証」の仕組みへ切り替えることが可能となっています。
もし「携帯電話認証」だけでなく「ワンタイムパスワード認証」が提供されているソーシャルメディアを利用しているときは、「ワンタイムパスワード認証」を選ぶことも合わせておススメしたいです。
ライブメディアクリエイター
ノダタケオ(Twitter:@noda)
ソーシャルメディアとライブ配信・動画メディアが専門のクリエイター。2010年よりスマホから業務機器(Tricasterなど)まで、さまざまな機材を活用したライブ配信とマルチカメラ収録現場をこなす。これらの経験に基づいた、ソーシャルメディアやライブ配信・動画メディアに関する執筆やコンサルティングなど、その活動は多岐にわたる。
nodatakeo.com
週刊アスキーの最新情報を購読しよう
本記事はアフィリエイトプログラムによる収益を得ている場合があります