lifehacker lifehacker LifeHacker LifeHacker SMSベースの2段階認証は安全とはいえない。対処法は?
先日、米TechCrunchが「Instagramが2段階認証の変更を検討中」と報じ、Instagram社はこれを認めました。パスコードとGoogle Authenticatorなどのセキュリティアプリを使ったログインを採用するというのです。
このように、テキストメッセージではなくトークンベースのアプリを使った認証が増えるのは歓迎すべきことといえます。
すぐにでも、新しい認証方式に切り替えてください。なぜなら、ハッカーが携帯電話キャリアに電話をかけ、無防備なカスタマーサービス担当者を見つけ、いともかんたんにあなたに成りすます事例が頻繁に報告されているからです。ビットコイン交換所のクラーケンは、2016年のブログ記事でこう説明しています。
Motherboardの記事によると、携帯電話キャリアは(米連邦取引委員会も)、「SIMハイジャッキング」や「SIMポーティング」と呼ばれるこのようなハックの蔓延を知りつつ、ようやく基本的な対策を取り始めたところなのだとか。
セキュリティを強化するには、携帯電話キャリアのカスタマーサービスに電話をするときに入力しなければならない特別なPINコードを追加するしかありません。それをしないと、ハッカーに電話番号を知られるだけで悲劇が訪れるかもしれないのです。Motherboardの記事にはこうあります。
サイトやサービスによるSMS経由での2段階認証コードの送信をやめさせるには
どことは言いませんが、いまだにログイン時に毎回テキストメッセージを送ってくるサイトがあります。自分の身を守るためにも、アプリベースの2段階認証を提供しているサイトやサービスについて、もっと最新情報を知っておかなければなりませんね。
skillsschool Hi Mark, please see details here of how to report an abandoned vehicle here: https://t.co/5ecz6Ck9HV
— Roseanne, Park. Mon Apr 15 10:00:05 +0000 2019
あなたのお気に入りサイトがいわゆる「トークンベース」の2段階認証を採用しているかどうかを知るには、2つの方法があります。まず、テキストメッセージをスクロールして、過去にログインコードを送ってきたことがあるサイトを見つけます。次に、そのサイトの設定を調べて、アプリによるソフトウェアトークンを設定できないか調べてください。
これを機に2段階認証アプリを使い始めたいけど、どれを使っていいかわからないという人は、トークンベースの2段階認証をサポートしているサイトがオススメしているアプリを使ってください。サイトのオススメが見つからないときは、下記が筆者オススメのアプリです。
認証のためのモバイルアプリを独自に持っているサイトもあります。たとえばFacebookのCode Generatorを有効にすると、新しいブラウザからFacebookにログインするたびに、Facebookモバイルアプリからコードを入力するよう求められます。
テキストメッセージを探してもログインコードが見つからないときは、おそらくサイトやサービスにログイン後、メッセージを消去してしまっているのでしょう。そんなときは、Two Factor Authというサイトが便利です。カテゴリーをクリックすると、アプリやサービスの一覧と、それらがサポートしている2段階認証が表示されます。
自分のブラウザ履歴をさかのぼって頻繁に訪れるサイトを見つけるなど、方法は何であれ、すべてのアクセスをトークンベースの2段階認証にすべきです。そうしておけば、たとえ電話番号がハッカーの手に渡っても、あなたのデジタルライフに侵入されることはありません。
Screenshot: David Murphy
Source: TechCrunch,Motherboard,Federal Trade Commission ,Code Generator,Two Factor Auth
David Murphy - Lifehacker US[原文]