多要素認証はメリットだけではない!デメリットも理解して設定しよう!

やっぱりね〜。
多要素認証にSMS(ショートメッセージ)用の電話番号を追加登録すると、電話番号が流出する可能性大ですよね〜。

かといって、多要素認証にしないのはリスクが大きいので、もちろんできる限り設定しています。
デメリットも理解しておかないとね、という話です。

SNSからSMSが漏れた⁈

『SNS』はSocial Networking Service(ソーシャル・ネットワーキング・サービス)。
『SMS』はShort Message Service(ショート・メッセージ・サービス)。
文字の見た目が紛らわしいというのは置いといて……、

簡単に何があったかと言うと……、

あるSNSの乗っ取りを防ぐ為、2要素認証用に電話番号を追加登録した訳です。
以前から2要素認証を設定できるのは知っていたのですが、信頼できない運営かもと思っていたので、触らずにいた訳です。
しかし、乗っ取られて迷惑メールの踏み台にされたら大変なので、不安ながらも2要素認証をかけた訳です。

次の日には、中国語のメッセージでSMSが……。
数日後には、ほぼ偽物と思われるSMSが……。
どちらも、本物の可能性はありますよ、アクセスは絶対にしませんけど。

詐欺SMS画面
たぶん詐欺SMSです

詐欺SMSが送られてきたのは1年ぶりぐらいですかね〜。
やっぱり、電話番号は登録するべきでなかったかな?
もちろん、SNSとは関係なく総当たり攻撃がたまたま連続ヒットしただけかもしれません。
溜め息をつきながら、安全な認証について考えてみました。

多要素認証とは

2019年の現時点では、3つの要素から2つの認証を設定するのが一般的です。

  • 自分しか知らない要素……パスワードなど
  • 自分しか持っていない要素……スマホ本体・カードなど
  • 自分だけに備わっている要素……指紋・顔など

パスワードを2つ設定するのは、2段階認証にはなるが2要素認証ではない!
会社などで誰でも見る可能性があるメールに届くのは認証にはならない!
更には、秘密の質問で出身校?最寄りの駅?なんてのも調べられない事はないので、もはや推奨されていない!

ここまでは、普通にセキュリティに関心があれば納得していますよね。
今後は、パスワードを使わない認証方法が主流になりそうですね。

どの認証方法も完璧ではない

で、今現在はどうすれば安全?というのに答えが出なくて悩んでいるのです。

パスワードを複雑にする

当たり前なのですが、複雑にするほど忘れてしまうかもしれません。
『パスワード管理アプリを利用する』も、そのアプリは信頼できますか?
アプリに頼って、覚えるのをやめても大丈夫ですか?

2段階認証用アプリを利用

多くのサービスで多要素認証を設定できるようになってきました。
2段階認証用アプリもあるので、現時点での一般論では利用するべきなのでしょうが、OSのアップデートや機種変更でアプリが突然使えなくなるリスクが不安。

複数のデバイスにインストールして同期できるアプリを選ぶのがベスト。
機種変更の時は忘れずに設定しなおしてください、自分が自分のアカウントから弾かれます。

機種本体に紐付けして確認が届く様にする

Googleアカウントのログイン時に設定している認証は、登録したデバイスに届くメッセージに「はいorいいえ」の返事をしたらOKなので楽。
スマホが手元にない場合もあるので予備の機種も設定しているし、もちろん他の認証方法も設定しています。

複数のデバイスがピコピコ鳴るのでうるさいですけどね。

SMSにワンタイムパスワードが届く様にする

スマホにSMSでメッセージが届くSMS認証の場合、ロック画面上に表示されないよう(盗み見を防ぐ)画面設定を確認しておく。
スマホ本体ごと盗まれたらアウト。
SIMの情報を盗まれたらアウト。

で、自分の場合は悩みましたが、SMS認証はスマホではなくガラホに設定しました。
ログインしようとする機種と、SMSが届く機種が別なので、片方を盗まれてもログインできないし少しは安心かな?と、思った訳です。

で、設定した直後に詐欺SMS来襲!
そんな気はしてましたが、やっぱりか!

詐欺SMSにアクセスしてはダメ

2019年時点では、SMS認証より2段階認証用アプリの方をオススメされる事が多いですね。

稀ですが、電話番号を過去に他人が使っていた、または自分が使っていたけど手放して他人が使っていて、SMS認証は紐付けられたまま……、なんて事もあるようです。

バックアップコードがある場合は必ず保存しておきましょう。

生体認証は今後の発展が待たれる

指紋や静脈、顔認証などでの生体認証はまだまだ完璧ではないですよね。
それぞれのデバイスの精度はもちろん、悪意があって偽造しようと思えばできそうという状態です。
スマホのロック解除に使う程度なら便利ですが、銀行口座へのログインが指紋だけだったりすると、とても不安です。

近い将来、生体認証が完璧に安全に機能するのを期待しましょう!

セキュリティ対策に終わり無し

多要素認証は他人にアカウントを乗っ取られない為に必須
  ↓
電話番号やアドレスを追加登録すると個人情報漏洩の危険性アップ
  ↓
有料セキュリティソフトの導入はあらゆる攻撃に効果大
  ↓
最近、セキュリティソフト自体が狙われているというニュースも
  ↓
調べまくって複数の最善の方法でアカウントを守ろう
  ↓
最初へ戻る

メールアドレスを複数使い分けたり、個人情報はむやみに登録しない。
パスワードは、自分に万が一の事があった時に家族などに伝えられるよう、古典的に紙に書いておくべきですよね。

大企業でもセキュリティ意識に疑問があるご時世、判断が難しいですね……。
ポイントをもらう為にあちこちに登録するのは、個人情報と引き換えである事は忘れずに!

自分のセキュリティ意識はもちろん、利用したいサービスのセキュリティ対策も調べた上でサービスに登録するかどうか?大いに悩みましょう。

トップへ戻る