現在、パスワードに対する概念が刻々と変化しており、デジタルアカウントを保護するには理想的とは言えないセキュリティー対策である、と考えられるようになっています。強力なパスワードの利用が推奨されていますが、最近は通用しなくなってきました。ユーザーが定期的にすべてのアカウントにそれぞれ異なるパスワードを設定することはなかなか難しく、セキュリティー対策を向上させるには新たなテクノロジーの導入が不可欠です。
オンライン・バンキングからメール、さらにはクラウドベースのファイル保存まで、私たちが頻繁に利用するサイトとアカウントにハッカーがアクセスできるようになれば、多くの重要な情報が危険にさらされます。そこで2ファクタ認証の登場となるわけです。
2ファクタ認証 (2FA) は、あなたの基本のログイン手順にセキュリティーのレイヤーを1つ追加します。アカウントにログインする際にはパスワードが唯一の認証ファクタであり、そこであなたがあなた本人であることを証明するための2つめのファクターが必要となります。セキュリティーのレイヤーを追加するごとに、不正アクセスからの防御は飛躍的に高まります。
2ファクタ認証の3つのカテゴリー :
・あなたが知っていること (パスワードなど)
・あなたが持っているもの (IDカード、携帯電話など)
・あなた自身 (指紋などによる生体認証)
認証時に要求される2つのファクターはそれぞれ別のカテゴリーでなくてはいけません。パスワード入力に続く2つめのファクタとしてよくあるのが、携帯電話にテキストメッセージで送られた自動生成PINコードの入力です。これは、あなたが知っているもの (あなたのパスワード) とあなたが持っているもの (2FA アプリから送られたSMSテキストまたはコードを受信するためのあなたの携帯電話)という、2つの種類の異なる情報を組み合わせたものです。
セキュリティーのレイヤーを追加してアカウントを保護する
Twitter、Facebook、Instagram、Pinterestなどの人気のソーシャルメディアサイトは2ファクタ認証を取り入れてユーザー保護に役立てています。さらにApple、Google、Amazonなどの企業のサービスで、あなたが別のデバイスや地域からログインするたびにメールで通知が送られてくるのにお気づきでしょう。
SMSテキストメッセージでの2ファクタ認証は一般的であり、パスワードのみの認証に比べより安全ではありますが、2ファクタ認証にも脆弱性が存在することも事実であり、それは攻撃者が容易にあなたのSMSテキストへアクセスすることができるからです。アカウントへのログイン時にウェブサイトがSMSコードの入力を求める時、そのウェブサイトはコードをサービスプロバイダに送信し、それがあなたの携帯電話に届きます。これは一般に考えられているほど安全ではなく、携帯電話の番号はこのプロセスの中で最も弱いリンクだからです。犯罪者があなたの携帯電話の番号を盗んで、それを別のSIMカードに移そうとした場合、手に入れる必要があるのは、恐らくアドレスとあなたの社会保障番号の下4桁と、クレジットカードの番号だけです。
これは大規模なデータ漏洩で流出する類の情報であり、ほとんどのアメリカ人がその被害に遭っています。ひとたび攻撃者があなたの携帯番号を彼らのSIMカードに変更すれば、攻撃者たちは基本的にあなたの番号を手に入れたことになり、あなたのテキストメッセージをすべて受信し、SMSによる2ファクタ認証を危険にさらすようになるのです。
多くの人が脆弱なパスワードを使ったり、複数のアカウントで同じログイン情報を使い回すといった過ちを犯しています。あなたもそうであるなら、Google AuthenticatorやAuthyなどの認証アプリを使うことをお勧めします。これらのアプリは広くサポートされており、設定も簡単です。
認証アプリを使いたいサイトの「アカウント設定」を開きましょう。サポートされていれば2ファクタ認証のオプションがあるはずです。携帯電話のアプリを使ってQRコードをスキャンしましょう。それだけで30秒ごとに失効する6桁の暗号化されたパスワードが手に入る仕組みとなっています。
2ファクタ認証が有効なサイトを使っていない場合はどうなるでしょう? 答えは非常に単純で、セキュリティーがそれほど厳しくないため、ハッカーがあなたのアカウントに不正アクセスするリスクがより高まるでしょう。どんな情報を保存しているかによりますが、クレジットカード情報、自宅の住所、その他の機密データなどが盗まれ、不正行為に使われたりダークウェブで売られる可能性があります。
パスワードが完全に使われなくなるまでは、2ファクタ認証を利用すると同時にWebroot CISOのGary Hayslip氏による安全に関する助言をご参照ください :
「必ず定期的にパスワードを変更すること。そしてパスワードの再利用はしないこと。ソーシャルメディアのアカウントパスワードと銀行のアカウントパスワードは同じものにしないこと。最後に、パスワードは安全な場所にしまっておくこと。何らかのパスワード保管プログラムを検討すること。パスワードを書いた付箋をキーボードの下やモニターやパソコンの近くにある引き出しの中に貼っておくなどの管理方法はできるだけ避けること。を推奨します。」
Recent Comments