推奨されるセキュリティ対策に従っている場合、2要素認証が可能なすべてのオンラインサービスで2要素認証を使用しています。2要素認証についてよく知らない方のために説明すると、2要素認証とは、ユーザー名とパスワードだけではアカウントにログインできなくなることを意味します。SMSテキストメッセージで携帯電話に送信されるか、アプリによって生成される、6桁のタイムベースのワンタイムパスワードも入力する必要があります。
(さらに、Apple ID で保護されたログインのための Apple の 2 要素認証がありますが、これは Apple 独自の通信チャネルとデバイスに依存しているため、通常の慣習に反しています。「Apple が Apple ID に 2 要素認証を実装」、2013 年 3 月 21 日を参照。)
SMSは、ほぼ普遍的で分かりやすいため、2段階認証コードを受け取る最も一般的な方法です。オンラインサービスに電話番号を伝えると、ログイン時に入力するコードが送られてきます。実に簡単です。しかし、最近のFacebookの問題が(またしても)証明したように、SMSは理想的とは言えません。
理論上、Facebookの二段階認証に提供する電話番号は、二段階認証のためだけに使われるべきです。しかし、多くのFacebookユーザーがFacebookから不要なテキストメッセージ通知を受け取っています。9to5Macはこうした事例をいくつかまとめました。さらに悪いことに、ユーザーが返信すると、そのメッセージはFacebookのウォールに投稿されてしまいます!つまり、「STOP」と送信したとしたら(試してみるのは全く理にかなっていますが)、そのメッセージはあなたのウォールに投稿され、世界中に公開されてしまうのです。
Facebookは迅速に対応し、最高セキュリティ責任者のアレックス・スタモス氏は、SMSの挙動はバグであり、Facebookは現在修正中であると述べた。また、ユーザーがテキストメッセージでFacebookに投稿できる機能は廃止されると付け加えた。
このような問題は初めて耳にしましたが、SMSは二要素認証には非常に不向きであることで有名です。以下は、そのことを示すニュースの見出しです。
- CNET:「2段階認証にSMSを使用すると危険にさらされる理由」
- フォーブス:「Gmailをハッキングしてビットコインを盗むのに必要なのは、名前と電話番号だけ」
- Macworld:「携帯電話会社のアカウントに PIN を追加しないと、携帯電話番号が乗っ取られる可能性があります」(こんにちは、Glenn!)
- TechCrunch:「Coinbaseの脆弱性は、SMSベースの2FAが大混乱を引き起こす可能性があることを改めて認識させてくれる」
- Hacker News:「SMS ベースの 2 要素認証の終了。はい、安全ではありません!」
- The Register:「標準化団体はSMS 2FAは安全ではないと警告したが、誰も耳を傾けなかった」
- The Verge:「二要素認証にテキストメッセージを使うべきではない理由」
- Wired:「2段階認証にテキストメッセージを使うのはやめましょう」
つまり、2要素認証コードにSMSを使うのは良くないアイデアです!残念ながら、PayPalのようにSMSを強制するウェブサイトもあります。ありがたいことに、2要素認証に対応しているほとんどのオンラインサービスでは、企業が提供するシード値から、時間ベースのワンタイムパスワードを自動生成できる認証アプリを利用できます。
実際、Facebook は 1Password、Authy、Google Authenticator、LastPass Authenticator などの独立した認証アプリの両方をサポートしており、iOS 用の Facebook アプリ内で独自のコード生成機能を提供しています。
設定するには、Facebookのデスクトップ版ウェブサイトから始めます。右上にある下向きの矢印をクリックし、「設定」を選択します。「セキュリティとログイン」をクリックします。「追加のセキュリティ設定」の下にある「2段階認証を使用する」を探します。隣の「編集」ボタンをクリックします。
「コードジェネレーター」を探して「有効にする」をクリックします。次に、「サードパーティ製アプリ」リンクをクリックすると、QRコードとシークレットキーが表示され、お好みの認証アプリの設定に使用できます。
残念ながら、このFIDO U2FセキュリティキーのようなUSBまたはNFCセキュリティキーによる認証を設定しない限り、テキストメッセージオプションを完全に無効にすることはできません。SMSによる2段階認証が不安な場合や、Facebookから迷惑なテキストメッセージが送られてくる場合は、この点にご注意ください。
Facebookの設定画面で、テキストメッセージの受信設定がオフになっているか確認しましょう。サイドバーの「モバイル」をクリックしてください。私が確認したところ、下のスクリーンショットのように、テキストメッセージはオンになっていませんでした。
では、二要素認証にはどのアプリを使うべきでしょうか? 1Password が二要素認証をサポートするまでは、私は Authy の大ファンでした(2014年11月6日の記事「Authy は二要素認証トークンを保護します」参照)。Mac ではユーザー名とパスワードを自動入力した後、コードをクリップボードにコピーしてくれるので、私は 1Password の実装の方が好きです。いずれにしても、
バックアップやクラウド同期機能を備えたソリューションを選ぶことを強くお勧めします。そうしないと、Glenn Fleishman がかつて経験したように、スマートフォンをアップグレードした際にアカウントから締め出されてしまう可能性があります(2013年8月28日の記事「二段階認証:二要素認証の喪失にどう対処するか」参照)。