ほとんどの人は怠惰で、簡単に解読できる弱いパスワードを使っています。しかし、強力なパスワードは完璧ではありません。記録されたり、傍受されたり、あるいは大規模なデータ流出が発生する可能性があります。

このため、二要素認証はここ10年で急速に普及が進んでいます。単一のパスワードでは真のセキュリティとしては弱すぎるため、第二の防御層を追加することでアカウントの安全性を高めることができます。

しかし、二要素認証は完璧ではありません。むしろ、気をつけないと痛い目にあいます。

認証要素の種類

多要素認証とは、お客様に複数の証拠（「要素」）を提示していただき、それぞれの要素でお客様を認証する方法です。すべての認証要素が揃っていない場合、システムからアカウントへのアクセスが許可されません。

二要素認証とは、システムが2つの証拠しか必要としないことを意味します。

多要素システムの一部として使用できる認証要素はさまざまですが、大きく3つに分類される傾向があります。

• 知識因子（「あなたが知っていること」）：あなたがある情報を知っていると示した場合、システムはあなたを受け入れます。例えば、暗証番号、セキュリティ質問に対する回答、確定申告の詳細などです。
• 所持（「持っているもの」）：何らかの物理的なデバイスを所持していることを証明できれば、システムはあなたを受け入れるでしょう。例えば、SMSコード、認証アプリケーション、USBキー、無線タグ、カードリーダーなどです。
• 本質的な要因（「あなたが何であるか」）：生体情報の比較により、システムがあなたを受け入れる。例えば、指紋スキャナー、網膜スキャナー、音声認識などです。

これらは簡単そうに聞こえるかもしれませんが、これらを認証に使用する際に発生する可能性のある問題点を既に確認されているかもしれません。

1ファクターが失われる可能性がある

単純に考えて、必要なときに必要な認証要素が使えるという保証はないのです。たいていの場合はそうですが、たった一度のミスでアカウントからロックされてしまうのです。

例えば、2つ目の認証要素としてSMSコードを用意したとします。毎日の銀行口座のチェックとかにはいいんだけど、巨大なハリケーンに襲われて何日も何週間も電気が使えない。

あるいは地震で水道管が破れ、自宅や電話が水浸しになる。あるいは、差し迫った山火事で避難を急ぐあまり、ドレッサーの上に**を忘れてしまう...。あるいは、誤ってランサムウェアを発見してしまい、**にアクセスできなくなった場合。あるいは、単に**を失っただけなのか。

セカンドファクターとしてUSBキーに頼るのは危険です。置き忘れたり、うっかり汚してしまうこともありますよね。ピンのような知識要素に頼ると、それが何であるかを忘れてしまう危険性が常にあるのです。生体認証の要素も完璧ではありません。目や指は事故で失う可能性があります。

ハリケーン「ハービー」と「イルマ」の被災者が、自分のアカウントからロックアウトされたことに気づく。なぜ？なぜなら、彼らは**を充電する方法がなかったからです。電話なし＝認証なし認証がなければ、アクセスもできない。

アカウントの復旧は可能な場合が多いのですが、時間がかかり、大きな頭痛の種になることがあります。もし、1つのファクターで保護された数十のアカウントがあり、そのファクターを失った場合、それらのアカウントをすべて回復する必要があります。Ix.

幸いなことに、ある種の認証方式はこの問題を解決することができる。例えば、一部のサービスでは、エレメントを紛失した場合に備えて、1回限りのバックアップコードを提供していますが、その場合は、絶対にどこかに保管しておく必要があります。

2 誤った安心感

二要素認証はセキュリティを強化するものですが、このセキュリティ強化の程度はしばしば誇張されています。2ファクタで保護されたアカウントは事実上不変だと言う人もいるかもしれませんが、これは全くの誤りです。

二要素認証は完璧とは言い難い。

例えば、リカバリーを例にとるとファクターを紛失したためにサービスがロックアウトされた場合、アカウントにアクセスしようとするハッカーと同じ立場になるのでしょうか？もし、あなたが何の要因もなくアカウントアクセスをリセットできるのであれば、ハッカーも同じことができると考えてよいでしょう。

実際、アカウントの回復オプションは通常、2ファクタ認証を無意味にし、Appleのような企業がほとんどの回復方法を放棄している理由です。悪い知らせは？リカバリーオプションを使用しない場合、お客様のアカウントは永久に失われる可能性があります。

また、2ファクタ認証を提供していても、完全にコミットしていないサービスもあり、アカウントのセキュリティをコントロールできないままになっています。例えばPayPalは「PayPal Security Key」というセカンドファクターを提供していますが、2014年当時はIan Dunnが記録しているように、完全に楽々とバイパスされてしまうことがあったのです。

このような弱点は、大手といえどもあらゆるサービスに存在します。2014年には、ハッカーが再び2要素保護を突破し、Google、Instagram、Amazon、Appleなどのユーザーアカウントにアクセスする事件が発生しました。

つまり、二要素認証で万全を期しても、アカウントが漏洩する可能性があるということです。それがどんな安全性をもたらすにせよ、それは幻想だ。

iii. 不利に使用される可能性がある

2ファクタ認証は、ハッカーがあなたのアカウントにアクセスするのを防ぐために設計されていますが、逆に、ハッカーが2ファクタ認証を設定または再設定して、あなた自身のアカウントにアクセスできないようにすることもあります。

ハッカーが自分のAppleアカウントに侵入し、数百ドルの買い物を呼び出した後、ハッカー自身のデバイスの1つを使って2ファクタ認証を結びつけたというRedditorの実体験を読むことができます。アカウントの本当の持ち主であるにもかかわらず、Redditorはどうすることもできなかった。

つまり、ある意味、2要素認証はアカウントの保護に十分な効果を発揮しないかもしれませんが（リスク2で検討）、効果がありすぎるかもしれないのです。

各サービスが2要素認証のプロトコルを強化し、アカウントの復元をより困難にしているため、重要なアカウントに2要素認証を設定することがますます重要になってきています。

ハッカーにやられる前に、今すぐやってしまいましょう。

いかがでしょうか？

また、二要素認証の大きなデメリットは、不便さを感じることです。ほんのひと手間ですが、毎週、毎日ログインしていると、そのひと手間が積み重なります。不便な分、価値があると思います。

これらのリスクや欠点を理由に二要素認証を完全に放棄するのは簡単ですが、私は二要素認証を使い続けることをお勧めします（まだ使っていないのであれば、使い始めることをお勧めします）。ただ、それが裏目に出ることもあるので、こうした問題が起きないように適切な対処をすることが大切です。

二要素認証を利用していますか？その理由をコメントで教えてください。また、他に考慮すべきリスクがあれば、それも共有してください。