2段階(2要素)認証を設定せずにアカウントを乗っ取られても「あなたが悪い」と言われる時代

2段階(2要素)認証を設定せずにアカウントを乗っ取られても「あなたが悪い」と言われる時代

まだ2段階認証設定していないの?

と言われる時代だ。

毎週のようにFacebookなりLINEなりのどこかで「すいません、アカウントを乗っ取られたようです」という報告が上がっている。リア友が異様に少ない自分でもほぼ毎週見てるから、普通の人ならもっと見てるでしょう(書いてて寂しい・・・)。

FBなりインスタなり乗っ取りの手法はいろいろあるが、2段階認証を設定せずに乗っ取られても、「それはあなたが悪い」と言われる。つか、オレが言う。

今どき有名どころのサービスはほとんどが2段階認証に対応してる。

SNS系だとFacebook、Twitter、LINE、インスタ、ECサイトだと楽天、アマゾン、キャリアだとau、ドコモ、ソフトバンク。

←と思ったら、こともあろうに楽天は2段階認証に対応していない(2018年7月時点)。まじか。ECはアマゾンしか使わないから知らんかった。2段階認証ではなく、本人認証というシステムを運用しているみたいだけど、アカウント乗っ取りを考えたら2段階認証は絶対対応しておくべきだけどね。

それと、最近は仕事でも市民権を得てきたチャットツール系もSlackやTeamsといった代表的なものは2段階認証に対応してる。

むしろこれからは「2段階認証に対応していないツールは使わない」という時代になるのではないか。楽天、どうした。

2段階認証とはなにか

細かい技術の話は省く。詳しいこと知らんし。

要は

・自分の携帯電話番号を登録しておく。

・今までと異なるブラウザやスマホでログインしようとすると、登録した携帯にSMSでショートコードが届く。

・通常のID/パスワードに加えて、SMSで届いたショートコードを入力して初めてログインできる。

という仕組み。

つまり、万一アカウントのIDやパスワードが漏れたとしても、盗んだ奴が自分のPCやスマホでログインしようとしても、ショートコードが届かないのでログインできない。

そして、そいつが乗っ取ろうとしていることも分かる(自分の携帯にショートコードが届くから)。

だから、乗っ取られようとしていることが分かり、すぐさまいつも使ってるスマホでログインして、パスワードを変更し、事なきを得るということができるわけだ。

いちいちショートコードを入力しないといけないから面倒くさい?

それは初回だけ。「このデバイスを覚えておく」というオプションが必ず用意されているから、そのチェックボックスをオンにしてログインすれば、2回目以降はID/パスワードだけでログインできる。

それでは設定していこう

代表的なアプリの設定方法を見ていこう。スクショ撮って、個人情報をフォトショのぼかしで消して・・ってするだけで、チョー面倒くさかったよ。

Facebook

しかし、フェイスブックって直訳すれば顔本だよね。すごいネーミングだ。

フェイスブックにおける2段階設定画面はここにある。画面右上の三角ボタンをクリックして「設定」を選択。左側メニューの「セキュリティとログイン」にある。時々このメニューや言葉遣いは変更されるから注意。

ここを有効にすると、携帯の番号を入力する画面になる。入力すると確認のためのSMSが届くので、それを再度入力したら設定完了。

本当に有効になっているかどうかは、今まで自分が使ったことがない端末(姉貴のスマホとか借りてみよう)でログインを試みると分かる。正しいIDとパスワードを入れているのに、ログインできないはずだ。ショートコードの入力画面になり、自分のスマホにSMSが届いているはず。これで完了。

Twitter

直訳すれば「囁き」だよね。可愛らしいネーミングだ。

Twitterの場合右上の自分のアイコンをクリックし、「設定とプライバシー」選択。

開いた画面で「セキュリティ」→「ログイン認証」→「ログイン認証を設定」を選択。

強制的に2段階認証の設定画面に入る。

自分の携帯の番号を入力する。

するとすぐにSMSが届く。いろいろ試験してたからLINEとかからも届いてるけど、一番下がTwitterから届いたショートコードだ。

 

その6桁のコードをここに入力する。

番号があっていれば、これで完了。次回新しいデバイスでログインする時はショートコードが必要になる。

LINE

直訳すれば「線」。すごいネームだ。

LINEの場合、そもそもとして「ひとつのLINE ID = ひとつのスマホ」と限定しているため、持ち主のスマホでない限りログインできない仕組みになってる。

ただ、PCでもログインできるし、機種変更した時にアカウント引き継ぎでも必要になるので、スマホの電話番号を登録しておこう。これが擬似的な2段階認証になる。

ちなみに今LINEアプリを立ち上げているスマホと別の電話番号を登録すれば、本当の2段階認証になる。けど、そこまでするか?LINEにログインするだけのためにスマホを2台持ち?

なので、普通は下記のように自身のスマホ電話番号を登録しておけばオーケー。

異様に分かりにくいLINEのインターフェース(ほんとになんとかならんのか、このユーザー置き去りの不親切な画面設計は)だが、この画面の左上にある歯車アイコンをポチッ。

「プロフィール」を選択。

ここで電話番号をタップ。

 

すでに登録してるから、こんな画面になってるけど、登録していなければ新規登録の画面になっているはず。

登録する。ここで違う番号を登録すれば本当の2段階認証になるけど、まぁ普通はせんわな。

 

SMSでショートコードが送られる。

すぐに届く。

LINEアプリが待っているので、番号を入れてあげる。お待ちどうさまでした。

これで完了。この番号を持つスマホ以外からは基本的にログインできなくなる。PCなどからログインする場合はショートコードが必要になるので、基本的に乗っ取りはできなくなる。

自分が使うサービスはすべて2段階認証を設定しておく

いつもと違う環境からログインする時はショートコードの確認が必要になるので、「あ”ー、今すぐログインしたいのに!」とムカつくこともあるが、大事なアカウントを守るためだ。設定しておこう。

iCloudやGoogleも対応しているから、クラウド系サービスを利用している人は、自分が使っているサービスが対応しているかどうかチェックしておこう。対応していれば必ず設定する。

繰り返すけど、2段階認証を設定せずにクラウドサービスを使うなんて、糊付けせずに郵便を出すようなもんだ。郵便局や第三者に見られても「糊付けしていないあなたが悪い」と言われるだろう。

つまりはそういう時代なのだ。

銀行や証券系のサイトが対応していないのが不思議で仕方ない。早く対応してくれんかね。被害が出たら甚大なことになるのに、昔からこの業界ってセキュリティの対応は遅いんだよね。

スポンサーリンク

セキュリティカテゴリの最新記事