ビジュアル解説 「2段階認証」で不正利用防ぐアカウント管理 キホンのキ(上)

2021/8/31

アカウントで利用者を識別するネットサービスは、正しいIDとパスワードを入力しないとサインインできない。だが、それだけではセキュリティーが万全とはいえない。IDとパスワードさえわかれば、誰でもサインインできてしまうからだ。セキュリティーを高める「2段階認証」についてビジュアルで解説する。

【記事本編はこちら】セキュリティーが劇的向上 2段階認証で不正利用防ぐ

不正アクセスにもすぐ気付く

図1 2段階認証はサインイン時にスマホなどで本人確認することで不正利用を防ぐ仕組み(1)~(3)。IDとパスワードが流出しても、確認コードが届くスマホを持っていない第三者はサインインできない。なお、2段階認証を経てサインインした端末は本人確認済み情報が端末とサービスに記録されるため、2回目以降は確認コードの入力が不要になる
図2 流出したIDとパスワードを使って第三者がサインインしようとした場合も、自分のスマホに確認コードが届く。本人確認済み情報が記録されていない端末から、そのアカウントでサインインが試みられたという合図だ。アカウントの漏洩を疑おう
図3 確認コードの受け取り方法はサービスによって異なる。スマホのSMSやメールで確認コードを受け取る方法が一般的だ。スマホの認証アプリや固定電話、USB端子に挿すだけで本人確認ができるセキュリティーキーに対応したサービスもある
図4 主なサービス(アカウント)の2段階認証への対応をまとめた。SMSおよびメールと認証アプリへの対応が多く、電話(音声)やセキュリティーキーを利用できるのは一部のみ

「2段階」での認証は初回だけ

図5 普段使っているパソコンやスマホの場合、2段階認証時のオプションをチェックすることで、次回以降の本人確認を省ける。本人確認済み情報が端末とサービスに記録されるためだ。ウェブブラウザーを初期化するとその情報が消えるため、再度、本人確認が必要になる
図6 あるサイトにGoogleアカウントでソーシャルログインする場合、Googleアカウントに2段階認証を設定してあると、当該サイトへのサインインも2段階認証となるのでセキュリティーを高められる

Googleアカウントの場合

図7 Googleアカウントのセキュリティーページ(https://myaccount.google.com/security)を開き(要ログイン)、「2段階認証プロセス」を開く
図8 電話番号の入力画面が開くので、確認コードを受け取る電話番号を入力する(1)。「コードの取得方法」はスマホならどちらでもよく、固定電話では「音声通話」を選ぶ(2)。セキュリティーキーや2台目のスマホによる認証も可能
図9 「テキストメッセージ」を選ぶと、確認コードがSMSでスマホに届く。「音声」を選んだ場合は、電話(海外から)がかかってきて合成音声で確認コードが読み上げられるので、図8に続く画面でそれを入力する
図10 電話番号での設定が完了したら、スマホの紛失に備えるため、2つめの認証手段の登録画面に切り替わる。「Googleからのメッセージ」でメールアドレスを登録するのが簡単だ。バックアップコードはそれぞれ1回だけ使える10個の確認コードで、メモもしくは印刷しておく
次のページ
MSはメルアドが1つめ、スマホは2つめとして追加