アカウントで利用者を識別するネットサービスは、正しいIDとパスワードを入力しないとサインインできない。だが、それだけではセキュリティーが万全とはいえない。IDとパスワードさえわかれば、誰でもサインインできてしまうからだ。
不正アクセスにもすぐ気付く
IDとパスワードは本来、秘密にすべきものだが、フィッシング詐欺サイトやサービス側の情報漏洩などで流出する可能性もある。そうなったらお手上げだ。そこで大手のサービスでは、IDとパスワードに加えて別の方法で本人確認をする仕組み、「2段階認証」を用意している。
2段階認証では、IDとパスワードを入力してサインインを試みると、事前に登録したスマートフォンなどに確認コードが届き、それを入力することで本人だと確認される。当該スマートフォンの所有者は本人だけなので、第三者が正しいIDとパスワードでサインインを試みても失敗する(図1)。
図1 2段階認証はサインイン時にスマホなどで本人確認することで不正利用を防ぐ仕組み(1)~(3)。IDとパスワードが流出しても、確認コードが届くスマホを持っていない第三者はサインインできない。なお、2段階認証を経てサインインした端末は本人確認済み情報が端末とサービスに記録されるため、2回目以降は確認コードの入力が不要になるまた、そうした試みがあると、確認コードが本人のスマートフォンに届くので不正利用にすぐ気付ける(図2)。気付けば対処もしやすい。
図2 流出したIDとパスワードを使って第三者がサインインしようとした場合も、自分のスマホに確認コードが届く。本人確認済み情報が記録されていない端末から、そのアカウントでサインインが試みられたという合図だ。アカウントの漏洩を疑おう本人確認の手段はSMS(ショートメールサービス)とメール、スマートフォン用の認証アプリが主流だが、ほかに電話(音声)やセキュリティーキーなどもある(図3)。
SMSとメールでは、サインイン画面でIDとパスワードを入力後、テキストで確認コードが届く。確認コードはスマートフォンはもちろん、携帯電話(ガラケー)でも受け取れる。電話(音声)では、電話がかかってきて確認コードを合成音声で伝えてくれる。スマートフォンのほか自宅の固定電話でも利用できる。
図3 確認コードの受け取り方法はサービスによって異なる。スマホのSMSやメールで確認コードを受け取る方法が一般的だ。スマホの認証アプリや固定電話、USB端子に挿すだけで本人確認ができるセキュリティーキーに対応したサービスもあるスマートフォン用の認証アプリは各サービスが用意しており、確認コードを表示するタイプもあれば、アプリにサインインするだけで本人確認できるタイプもある。セキュリティーキーは、アカウント情報を事前に登録しておき、パソコンのUSB端子に挿して本人確認する仕組み。2段階認証に利用できる製品は5000円程度だ。
利用できる本人確認方法はサービスによって異なる(図4)。SMSやメールはどれもOKで、認証アプリに対応するサービスも多い。音声やセキュリティーキーへの対応は少数だ。
図4 主なサービス(アカウント)の2段階認証への対応をまとめた。SMSおよびメールと認証アプリへの対応が多く、電話(音声)やセキュリティーキーを利用できるのは一部のみ「2段階」での認証は初回だけ
2段階認証はセキュリティーが劇的に向上する半面、本人確認のひと手間が増える。それゆえ「面倒臭そう」と思っている人もいるかもしれない。だが、グーグルなどの大手では、本人確認を一度済ませばそれ以降、その端末(パソコンやスマホ)での本人確認を省略できる(図5)。本人確認済みという情報がウェブブラウザー(具体的にはクッキー)に保存されるからだ。つまり、2回目以降は通常のサインイン手続きと同じ。本人確認が必要となるのは、第三者も含め異なる端末やウェブブラウザーからサインインするときだけだ。
図5 普段使っているパソコンやスマホの場合、2段階認証時のオプションをチェックすることで、次回以降の本人確認を省ける。本人確認済み情報が端末とサービスに記録されるためだ。ウェブブラウザーを初期化するとその情報が消えるため、再度、本人確認が必要になる2段階認証はソーシャルログインでも有効(図6)。例えばサービスAにBのアカウントでソーシャルログインしている場合、Bを2段階認証に切り替えるとAでのサインインも2段階認証になる。Aが2段階認証に非対応でもセキュリティーを劇的に高められる。
図6 あるサイトにGoogleアカウントでソーシャルログインする場合、Googleアカウントに2段階認証を設定してあると、当該サイトへのサインインも2段階認証となるのでセキュリティーを高められる
