二要素認証とは何か、なぜそれを使用する必要があるのか？

今日のデータが新しい石油である時代において、オンラインアカウントが侵害されることや、まったくアクセスを失うことへの懸念は、非常に恐ろしい考えの一つです。この懸念にはいくつかの要因が考えられますが、その中で最も重要なのは、適切なセキュリティが欠如していることです。これは、ほとんどのユーザーが意図的または無意識に従ってしまう不注意や不十分なセキュリティ慣行に分解できます。

この状況から抜け出す一つの方法は、すべてのアカウントで2FA（二要素認証）を有効にして、そのセキュリティを強化することです。そうすれば、たとえパスワードが漏洩またはハッキングされても、アカウントは第二の要素（2FA検証トークン）によって検証されるまでアクセスできません。

しかし、実際には、多くの人々が2FAを活用していないか、その存在を知らないようです。そこで、より簡単にするために、2FAに関するガイドを用意しました。ここでは、2FAに関する最も一般的な質問への回答を紹介します。

二要素認証 (2FA) とは？

二要素認証、または2FAは、アカウントに追加のセキュリティ層を追加する多要素認証（MFA）メカニズムの一種です。2FAの場合、ログインを認証するための第二の要素です。

理想的には、ユーザー名とパスワードを使用してアカウントにログインするとき、パスワードは最初の認証要素として機能します。そして、サービスが入力されたパスワードが正しいことを確認した後にのみ、アカウントにアクセスできるようになります。

このアプローチの問題の一つは、最も安全ではないことです。誰かがあなたのアカウントのパスワードを手に入れた場合、簡単にログインしてアカウントを使用できてしまいます。これが、第二の要素の必要性が生じる理由です。

第二の要素は、いくつかの異なる方法で設定でき、ログイン時にアカウントに追加の認証層を追加します。これを有効にすると、アカウントの正しいパスワードを入力した後、あなたの身元を確認するために、限られた時間有効な検証コードを入力する必要があります。成功裏に検証されると、アカウントへのアクセスが許可されます。

このメカニズムを実装しているサービスによっては、2FAは時には二段階認証（2SV）とも呼ばれることがあります。たとえば、Googleの場合です。しかし、名前の違いを除けば、両者の背後にある基本的な原則は同じです。

また、TechPPでも

Facebook、Instagram、Twitterでの二要素認証の有効化方法を読む

二要素認証 (2FA) はどのように機能するのか？

前のセクションで述べたように、二要素認証は、ログイン時に身元確認を完了するために、第一の要素（パスワード）に加えて第二の要素を使用します。

これを達成するために、2FAを実装しているアプリやサービスは、ユーザーがログインしてサービスを使用できるようにする前に、次のいずれかの要素（または証拠）を少なくとも2つ確認する必要があります：

i. 知識 – あなたが知っている何か
ii. 所持 – あなたが持っている何か
iii. 固有性 – あなたが何であるか

これらの異なる要素が何を構成するかをより良く理解するために、ほとんどのシナリオでは、知識要素は、たとえば、あなたのアカウントのパスワードやPINであり、所持要素は、USBセキュリティキーや認証器のようなものであり、固有性要素は、あなたの生体認証：指紋、網膜などです。

2FAを設定して実行しているアカウントでは、知識要素に加えて、所持と固有性のいずれかの2つの検証要素を入力する必要があります。

その後、保護したいものや使用しているサービスに応じて、好みの第二の認証メカニズムを選択するための2つのオプションがあります。所持を使用することもできます：物理的なセキュリティキーやスマートフォンのコード生成アプリを使用して、身元を確認するために使用できる一度限りのトークンを提供します。または、固有性に依存することもできます：顔認証など、最近のサービスが提供するアカウントのための第二のセキュリティ検証要素として。

また、TechPPでも

Googleアカウントでの二要素認証の有効化方法を読む

二要素認証は完全無欠か？2FAを使用することの欠点はあるか？

二要素認証が何であり、どのように機能するかを理解したところで、その実装とアカウントでの使用における欠点（もしあれば）を詳しく見てみましょう。

まず、ほとんどの専門家の間で二要素認証を使用することに関する合意は、概ね肯定的であり、人々を自分のアカウントで2FAを有効にするよう促しますが、メカニズムの実装には確かにいくつかの欠点があり、完全無欠な解決策にはなりません。

これらの欠点（またはむしろ脆弱性）は、主にそれを使用するサービスによる不適切な2FA実装の結果であり、さまざまなレベルで欠陥がある可能性があります。

効果的でない2FA実装の例として、アカウントでモバイル番号を使用して2FAを有効にしているシナリオを考えてみましょう。この設定では、サービスがSMSでOTPを送信し、それを使用して身元を確認する必要があります。しかし、この場合、第二の要素はキャリアを介して送信されるため、さまざまな攻撃の対象となり、したがって自体としては安全ではありません。その結果、このような実装は、アカウントを保護するために必要な効果を発揮できません。

上記のシナリオに加えて、2FAがさまざまな攻撃に対して脆弱である可能性のある他の状況もいくつかあります。これらの状況には、メカニズムを組み込んだウェブサイト/アプリがトークン検証の実装に偏りがある場合、アカウントにブルートフォースで侵入できるようにするレート制限が欠如している場合、同じOTPが繰り返し送信されることを許可する場合、バックアップコードの不適切なアクセス制御に依存する場合などが含まれます。これらすべては、適切な知識とスキルを持つ誰かが、効果的でない2FAメカニズムを回避してターゲットアカウントにアクセスできる脆弱性を引き起こす可能性があります。

同様に、2FAが問題になる別のシナリオは、無頓着に使用する場合です。たとえば、コード生成アプリを使用してアカウントで二要素認証を有効にしている場合、新しいデバイスに切り替えたが認証アプリを新しい電話に移すのを忘れた場合、アカウントから完全にロックアウトされる可能性があります。その結果、そのようなアカウントへのアクセスを回復するのが難しい状況に陥ることがあります。

2FAが時にはあなたを傷つける可能性があるもう一つの状況は、SMSを使用して2FAトークンを取得する場合です。この場合、旅行中に接続が悪い場所に移動すると、一度限りのトークンをSMSで受信できない可能性があり、アカウントに一時的にアクセスできなくなることがあります。言うまでもなく、キャリアを変更し、まだ古いモバイル番号が異なるアカウントにリンクされている場合もあります。

また、TechPPでも

Androidスマートフォンを二要素認証のセキュリティキーとして使用する [ガイド]を読む

とはいえ、ここで重要な要素が一つあります。それは、私たちのほとんどが平均的なインターネットユーザーであり、アカウントを疑わしい用途に使用していないため、ハッカーが私たちのアカウントを攻撃の対象にする可能性は非常に低いということです。この明白な理由の一つは、平均的なユーザーのアカウントは魅力的ではなく、攻撃を実行するために時間とエネルギーを費やす価値があまりないからです。

そのようなシナリオでは、2FAセキュリティの利点を最大限に享受でき、前述のような極端な欠点に直面することはありません。要するに、2FAの利点は、ほとんどのユーザーにとって欠点を上回ります—注意深く使用している限り。

なぜ二要素認証 (2FA) を使用するべきか？

私たちがますます多くのサービスにオンラインでサインアップするにつれて、アカウントが侵害される可能性が高まっています。もちろん、これらのアカウントのセキュリティを確保し、脅威を遠ざけるためのセキュリティチェックが行われていない限り。

過去数年間、人気のあるサービス（巨大なユーザーベースを持つ）のデータ侵害により、膨大なユーザーの資格情報（メールアドレスやパスワード）がオンラインで漏洩し、世界中の数百万のユーザーのセキュリティが危険にさらされ、ハッカー（または知識を持つ人）が漏洩した資格情報を使用してこれらのアカウントにアクセスできるようになりました。

それ自体が大きな懸念ですが、これらのアカウントに二要素認証がない場合、ハッカーにとって全体のプロセスが簡単で単純になり、簡単に乗っ取られることになります。

しかし、アカウントに二要素認証を導入すれば、所持要素（あなたが持っているもの）—OTPまたはアプリ/ FOB生成トークン—を使用して身元を確認するための追加のセキュリティ層が得られます。

実際、追加のステップが必要なアカウントは、通常、攻撃者の標的にはならない（特に大規模な攻撃において）ため、2FAを使用していないアカウントよりも比較的安全です。とはいえ、二要素認証はログイン時に追加のステップを追加することは否定できません。しかし、得られるセキュリティと安心感は、その手間をかける価値があることは間違いありません。

また、TechPPでも

今年試してみるべき6つのテクノロジー習慣を読む

上記のシナリオは、アカウントで2FAを有効にすることが有益であることを示す多くの異なる事例の一つに過ぎません。しかし、2FAがアカウントのセキュリティを向上させる一方で、完全無欠な解決策ではないことも再度強調する価値があります。したがって、サービスによって正しく実装される必要があり、ユーザー側でも注意深く設定する必要があります（すべての回復コードのバックアップを取ること）ので、サービスがあなたの利益になるように機能します。

二要素認証 (2FA) を実装する方法は？

二要素認証で保護したいアカウントに応じて、アカウントで2FAを有効にするための一連の手順に従う必要があります。Twitter、Facebook、Instagramなどの人気のあるソーシャルネットワーキングサイトや、WhatsAppなどのメッセージングサービス、さらにはメールアカウントなど、これらのサービスはアカウントセキュリティを向上させるために2FAを有効にする機能を提供しています。

私たちの意見では、すべての異なるアカウントに対して強力でユニークなパスワードを使用することは基本的ですが、二要素認証を無視するべきではなく、サービスがその機能を提供する場合はそれを利用すべきです—特に、他のアカウントの回復オプションとしてリンクされているGoogleアカウントに対して。

二要素認証を有効にする最も安全な方法の一つは、固定間隔でコードを生成するハードウェアキーを使用することです。しかし、一般的なユーザーにとっては、Google、LastPass、Authyなどのコード生成アプリが十分に機能するはずです。さらに、最近では、ボールトとトークン生成を提供するパスワードマネージャーもあり、さらに便利になっています。

ほとんどのサービスは、二要素認証を有効にするために同様の手順を必要としますが、Googleアカウントや他のソーシャルメディアウェブサイトでの2FAの有効化方法に関するガイドをチェックして、アカウントの二要素認証セキュリティを適切に設定する方法を確認できます。その際、トークンを受信できない場合やトークン生成器へのアクセスを失った場合にアカウントからロックアウトされないように、すべてのバックアップコードのコピーを持っていることを確認してください。