完璧なセキュリティを求めると、完璧は善の敵になるのです。Redditのハッキング事件をきっかけに、SMSベースの2要素認証が批判されるようになりましたが、SMSベースの2要素認証を使うことは、2要素認証を全く使わないよりはずっとましです。

9割以上のGmailユーザーが2ファクタ認証を使用していない

SMS認証が十分でないと話すセキュリティ専門家は、先走りしすぎています。USENIX Enigma 2018でのGoogleエンジニアGrzegorz Milkaの報告によると、90%以上のGmailユーザーが二要素認証を全く使っていないとのことです。多くの人がネット上で自分を守る第一の方法は、重要なアカウントに何らかの二要素認証を有効にすることです。

こんな風に考えてみてください。家を守るために、玄関のドアに鍵をつけるとします。セキュリティの専門家は、安物より良い鍵の方がずっと良いと主張します。確かに、その通りだと思います。しかし、より高価なロックが買えないのであれば、全くロックがないよりは、安価なロックがあった方が良いのではないでしょうか？

はい、アプリケーションベースの二要素認証は、SMSベースの認証よりも優れています。しかし、SMSが単なるサービスであるならば、まったく使わないよりはましである。

SMSベースの2ファクターには弱点もありますが、これは的外れです。攻撃者は、SMS認証を回避するために時間を費やす必要があります。ほとんどのターゲットは、そこまでする価値はないかもしれません。

2ファクタ認証が必要な理由

二要素認証は、アカウントにアクセスするために、あなたが知っているもの（パスワード）とあなたが持っているもの（追加のセキュリティコードまたはモバイルデバイスの物理的なトークン）の2つを持つ必要があることから、この名前が付けられました。

SMSベースの二要素認証を有効にすると、新しいデバイスからログインするたびに、ワンタイムコードを含むテキストメッセージがお客様の**番号に送信されるサービスです。したがって、たとえ誰かがあなたのユーザー名とパスワードを知っていたとしても、SMSメッセージにアクセスしなければ、あなたのアカウントにログインすることはできないのです。

二要素方式には、**に一時的なセキュリティコードを生成するアプリケーションや、コンピュータに**する必要がある物理的なセキュリティキーなどの種類があります。

電子メール、ソーシャルメディア、銀行口座などの重要なアカウントを保護するために、あらゆる種類の二要素認証を提供することができます。特に、パスワードを再利用している場合は、その傾向が強くなります。多くの人は複数のウェブサイトでパスワードを再利用しており、あるサイトのパスワードデータベースが侵害されると、そのパスワードを使って電子メールアカウントにログインすることができるようになります。二要素認証は、この権利の発展を阻止する。

これは、パスワードの再利用を意味するものではありません。パスワードは再利用しないでください。強力でユニークなパスワードを記録するために、優れたパスワードマネージャーを使用する必要があります。

なぜ、SMS認証はダメだと言われるのか？

SMSベースの二要素認証は、電話番号を盗まれたり、SMSメッセージを傍受されたりする可能性があるため、理想的ではありません。

• 電話番号ポーティング詐欺では、攻撃者はあなたを模倣して、あなたの電話番号を新しい電話機に移動させることができます。これは最も可能性の高い攻撃です。
• 攻撃者は、あなたに向けられたテキストメッセージを傍受することができます。例えば、あなたの近くにある**送信塔**になりすましたり、**ネットワークへのアクセスを使ってメッセージを転送したりすることができます。

そのため専門家は、国家による悪用が少なく、**キャリアが電話番号を他人に教えても攻撃されにくい、別の二要素方式を使用することを推奨しています。もし、あなたが**上のアプリケーションまたは**の物理的なセキュリティキーからコードを取得する場合、あなたの2ファクタは、電話ネットワークの問題の影響を受けません。攻撃者は、あなたのロック解除**またはあなたがログインしなければならない物理的なセキュリティキーを必要とします。

もちろん、完璧な世界では、SMSは理想的な解決策ではありません。セキュリティ専門家がSMSベースの二段階認証を好まない理由は既に説明した通りです。SMSベースの二要素認証は、何もしないよりはずっと良いということです。

関連：二要素認証にSMSを使うべきではない理由（と、代わりに使うべきもの）

SMSが提供する以上のセキュリティが必要な人もいる

現状では、一般の人はSMSを使った認証で問題ないでしょう。SMSベースの認証は、攻撃者があなたのアカウントに侵入するために多くの余分な手間をかけることになり、他にもっと簡単で興味深いターゲットが存在する場合、あなたは彼らの手間に見合わないかもしれません。ほとんどの人はSMS認証さえ使っていないし、みんなが使えばウェブはもっと安全な場所になるはずだ。

巧妙な攻撃者に狙われる可能性がある人は、SMSを使った認証を避けるべきです。例えば、政治家、ジャーナリスト、著名人、ビジネスリーダーなどであれば、攻撃の対象になる可能性があります。もしあなたが、企業の機密データにアクセスできる人、機密システムに深くアクセスできるシステム管理者、あるいは単に銀行に大金を預けている人であれば、SMSメッセージはリスクが高すぎるかもしれません。

しかし、あなたがGmailやFacebookのアカウントを持つ一般人で、誰もあなたのアカウントに長時間アクセスする理由がないのであれば、SMS認証は問題なく、全く使わないよりは絶対に有効にすべきです。

綻びは縁の下の力持ち

SMSを使った二要素認証を避けても、SMSは代替手段として使われる可能性があるのです。例えば、アプリを使ってGoogleアカウントにログインするためのコードを生成しても、電話番号を使ってアカウントを復旧させることができます。これは、万が一、2ファクタの電話番号やトークンにアクセスできなくなった場合に、お客様を保護するためのものです。

つまり、アプリケーションで生成されたコードや物理的なセキュリティキーを使用している場合でも、多くのサービスではアカウントへのアクセスに**番号**を使用することができます。あなたはシステムの一番弱い部分に過ぎないのです。通常のログイン方法がない場合は、他のログイン方法を確認してみてください。

そのため、Googleアカウントを本当にロックするためには、SMSベースの2段階認証を避けるだけでは不十分です。また、Googleが「ジャーナリスト、活動家、ビジネスリーダー、政治運動チーム」向けに宣伝しているAdvanced Protection Programに参加する必要があります。この無料プログラムは、物理的なセキュリティキーでサインインする必要がありますが、アカウントを回復するために、より多くの情報を必要とします。

現在2faをご利用でない方は、SMSをご利用ください。

外国人、企業スパイ、組織犯罪者などのターゲットになる可能性がある人は、SMSベースの2要素認証は絶対に避け、より安全な方法でアカウントをロックする必要があります。

しかし、もしあなたが2ファクタ認証を有効にしていない普通の人なら、がっかりしないでください。SMSベースの2ファクタ認証を使えば、そうでない場合よりも安全性が高まります。これは重要なセキュリティーの底力です。

もっと良いものを使わない限り、誰もがSMS認証を使うべきです。

写真提供：golubovystock/Shutterstock.com website.