特別企画
パスワードだけでは心許ない!

不正アクセスからアカウントを守る! 「2段階認証」の基礎と設定方法を徹底解説

不正アクセスによる被害は、増加の一途だ。企業に対するサイバー攻撃被害はニュースにもよく取り上げられるが、個人への攻撃も同様に増えている。被害に遭ってからでは手遅れなので、しっかりとセキュリティ対策を施しておこう。

2段階認証(2要素、2ファクタ認証とも呼ぶ)を設定すると、パスワードに加えてもうひとつ、本人しか知り得ない認証方法を使わなければログインできなくなる。画面は「Apple ID」の2ファクタ認証によるサインインの例

2段階認証とは?

一般的なセキュリティ対策の基本は、以下の項目だ。

・OSやソフトウェア、アプリを最新にアップデートする
・類推されにくいパスワードを使う
・パスワードは使い回さない
・セキュリティ対策ソフトを利用する

そしてもうひとつが、今回紹介する「2段階認証」。サービスによって「2要素認証」や「2ファクタ認証」とも呼ばれるが、要はパスワード以外にもうひとつの認証要素を利用するものだ。

一般ユーザー向けの認証要素としてはSMSやメールに送られてくるセキュリティコードの利用が多いが、アプリを利用するケースや、認証済みのスマホを利用するサービスもある。

使用イメージはこうだ。たとえばSMSを利用するケースならまず、ログイン時にパスワードを入力する。すると、あらかじめ登録しておいた携帯電話番号宛てにSMSが届く。そこに書かれているセキュリティコードを入力しなければ、ログインできないという仕組みだ。

しかも、送られてくるのはワンタイムのコード(制限時間付きでログインのたびに変わる)なので、セキュリティはより強固になる。

もうひとつの利点として、自分がログインしようとしていないのにセキュリティコードが届けば、誰かが不正アクセスを試みているのだと判断できる点も挙げられる。その場合、すでにパスワードは解析されているので、速やかにパスワードを変更しなければならない。

2段階認証は、ログインに手間がかかると思われがちだ。しかし、本人が一度ログインすれば、その時に使った機器やアプリを認証済みとして登録できるケースが多いので、ログインのたびに煩雑さを感じることはない。

あなたのメールアドレスやパスワードは大丈夫?

2段階認証を設定する前に、自分が使っているメールアドレスやパスワードが漏えいしていないか確認しておこう。

確認には、セキュリティ関連の専門家であるトロイ・ハント氏が公開している「Have I been pwned?」を利用する。

・Have I been pwned?
 https://haveibeenpwned.com

まずはメールアドレから。上記URLを開いたら、「email address」蘭にメールアドレスを入力して「pwned?」ボタンを押す。

結果が「Good news - no pwnage found!」なら、少なくとも「Have I been pwned?」が参照するデータベース(数十億登録されていて日々更新される)上では漏洩していないと判断できる。漏洩している場合には「Oh no - pwned!」と表示され、漏えい元のサービスや企業名と、漏えい内容が表示される。

「Home」画面でメールアドレスを入力して「pwned?」ボタンを押す

「Home」画面でメールアドレスを入力して「pwned?」ボタンを押す

「Good news - no pwnage found!」なら、メールアドレスは漏洩していない可能性が高い

「Good news - no pwnage found!」なら、メールアドレスは漏洩していない可能性が高い

「Oh no - pwned!」なら確実に流出している。画面を下方にスクロールすると、漏えい元がわかる

「Oh no - pwned!」なら確実に流出している。画面を下方にスクロールすると、漏えい元がわかる

次に、パスワードの漏えいも調べてみよう。こちらは、過去にデータ侵害によって公開された5億5527万8657個のパスワードとのマッチングを検索するツールだ。

使い方は、画面上部のタブから「Passwords」画面を開き、自分が使っているパスワードを入力して「pwned?」ボタンを押す。

参照するデータベースに見当たらないなら、「Good news - no pwnage found!」と表示される。漏えいしている場合には「Oh no - pwned!」だ。万一流出していたら、そのパスワードは絶対に利用しないこと。

パスワードを入力して「pwned?」ボタンを押す

パスワードを入力して「pwned?」ボタンを押す

「Good news - no pwnage found!」なら、少なくとも漏えいが確認されている参照データベース上には存在しない

「Oh no - pwned!」であれば漏えいしているので、速やかに変更する必要がある

「Oh no - pwned!」であれば漏えいしているので、速やかに変更する必要がある

なお、パスワードに関しては自分が設定していたものが漏えいしていたとは限らず、誰かが同じパスワードを使っていたケースもある。ただし、そのパスワードでログインを試されるので、使用は厳禁だ。

画面最上部の「Notify me」から漏洩していないメールアドレスを登録しておくと、漏洩したときに通知が届くようにもできる。いつ何時漏えいするかわからないので、登録しておくのもいいだろう。

英語では扱いづらいなら、「Have I been pwned?」のデータベースを活用する「Firefox Monitor」でもいい。ただし、調べられるのはメールアドレスの漏えいが基本となる。

・Firefox Monitor
 https://monitor.firefox.com

使用方法も同様で、「メールアドレスを入力してください」と書かれているところにメールアドレスを入力し、「データ侵害を確認する」を押せば結果が表示される。

メールアドレスを入力して「データ侵害を確認する」を押す

メールアドレスを入力して「データ侵害を確認する」を押す

漏えいが認められないときの画面。「新しい侵害があった場合に通知する。」を押し、FireFoxアカウントを作成すると、データ侵害をモニターできる

漏えいしているメールアドレスなら、件数と漏えい日時、サービス名、漏えい内容が表示される

漏えいしているメールアドレスなら、件数と漏えい日時、サービス名、漏えい内容が表示される

関連記事
「価格.comマガジン」プレゼントマンデー
ページトップへ戻る