Twitterは、アカウントへのアクセスに高度なセキュリティを設定できる主要ウェブサービスに加わりました。PayPal、Apple、Dropbox、Google、Facebookなど、多くのサービスが現在、こうした機能を提供しています。これにより、クラッカー、破壊行為者、あるいは裏切ったパートナーがアカウントに侵入し、あなたの個人情報を調べたり、あなたの名前で投稿したりすることが著しく困難になります。アカウントを乗っ取ることは依然として可能ですが、通常はコンピューター、携帯電話、またはデジタルキーフォブへの物理的なアクセスが必要になります。(「Apple、Apple IDに2要素認証を導入」2013年3月21日記事参照)
最近、著名な Twitter アカウントが数多く乗っ取られ、恥ずかしい思いをさせ、さらにはもっとひどい事態を引き起こしている ― ホワイトハウスが爆撃されオバマ大統領が負傷したと AP 通信社が偽のツイートをした事件がその一例だ。だが、Twitter アカウントの乗っ取りは一般ユーザーにとっても極めて一般的で、特に興味深いハンドルネームを持つユーザーにとってはそうだろう ― Wired のライター Mat Honan がハッキングされた悪名高い事件の根本原因はこれだった (この件と、それを防ぐために何ができるかについては、2012 年 8 月 22 日の“TidBITS Presents “Protecting Your Digital Life” で論じた)。典型的な攻撃は、
バックアップとして使われている電子メールアカウントの弱点を利用する。私の友人の一人は、Gmail アカウント復旧の欠陥のせいで 4 文字のハンドルネームを盗まれた。(Twitter の Safety & Security 部門が彼のハンドルネームを取り戻してくれた。)
Twitterの2段階ログイン認証では、電話番号とメールアドレスの両方が必須となり、Twitterのシステムで認証する必要があります。認証後、TwitterはSMSで6桁のコードを送信します。このコードを入力すると、有効なログインであることが確認されます。また、他のデバイスでTwitterにログインするには、一時パスワードを生成する必要があります。
まず、自分の電話番号をTwitterに連携させる必要があることがわかりました。Twitterモバイルの設定ページに移動し、電話番号が表示されない場合は入力してTwitterにテキストメッセージを送信する必要があります(自動的にコードは送信されません)。「GO」というテキストメッセージを40404に送信して、番号認証を行ってください。次の重要なステップは、認証した番号の下にあるTwitterのSMS通知オプションのチェックをすべて外すことです!私はどれも不要です。完了したら「変更を保存」をクリックしてください。
左側の設定リストで「アカウント」をクリックし、下にスクロールして「サインイン時に確認コードを要求する」を選択します。携帯電話にテストメッセージが送信されることを確認するポップアップアラートが表示されます。「OK、メッセージを送信」をクリックします。SMSが届いたら「はい」をクリックします。最後に、プロンプトが表示されたらパスワードをもう一度入力します。この段階でキャンセルをクリックすればキャンセルできます。そうでない場合は「変更を保存」をクリックします。
Twitterが二要素認証にSMSのみを採用しているのは残念なことです。多くの企業は現在、Google AuthenticatorやDuo Mobileといったサードパーティ製のトークン生成アプリ(どちらも無料)を利用しています。(私は現在、Google Authenticatorで管理している二要素認証ログインを6件使用しており、iPhoneには短時間の画面ロックを設定しています。)Appleは「iPhoneを探す」サービスを通じてiOSデバイスへの独自の接続経路を利用しています。しかし、Twitterは今後セキュリティ強化をさらに進めるとしており、既存の認証オプション(特に企業向け)との連携もその一環となると予想しています。