多くのオンラインサービス 提供 二要素認証 、ログインにパスワード以上のものを要求することでセキュリティを強化します。使用できる追加の認証方法にはさまざまな種類があります。
サービスが異なれば、2要素認証の方法も異なります。場合によっては、いくつかの異なるオプションから選択することもできます。それらがどのように機能し、どのように異なるかを次に示します。
SMS検証
多くのサービスでは、アカウントにログインするたびにサインアップしてSMSメッセージを受信できます。そのSMSメッセージには、入力する必要のある1回限りの短いコードが含まれています。このシステムでは、携帯電話が2番目の認証方法として使用されます。誰かがあなたのパスワードを持っている場合、あなたのアカウントに入ることができません。彼らはあなたのパスワードとあなたの電話またはそのSMSメッセージへのアクセスを必要とします。
これは、特別なことをする必要がなく、ほとんどの人が携帯電話を持っているので便利です。一部のサービスでは、電話番号をダイヤルし、自動システムでコードを話すこともできるため、テキストメッセージを受信できない固定電話番号でこれを使用できます。
ただし、 SMS検証に関する大きな問題 。攻撃者はSIMスワップ攻撃を使用して、安全なコードにアクセスしたり、セルラーネットワークの欠陥のおかげでそれらを傍受したりできます。可能であれば、SMSメッセージの使用はお勧めしません。ただし、SMSメッセージは、2要素認証をまったく使用しないよりもはるかに安全です。
アプリで生成されたコード(Google AuthenticatorやAuthyなど)
関連: 2要素認証用にAuthyを設定する方法(およびデバイス間でコードを同期する方法)
また、スマートフォンのアプリでコードを生成することもできます。これを行う最も広く知られているアプリは、GoogleがAndroidとiPhone向けに提供しているGoogle認証システムです。しかしながら、 Authyを優先します 、すべてを行います Google認証システム します—そしてもっと。名前にもかかわらず、これらのアプリはオープンスタンダードを使用しています。たとえば、Microsoftアカウントや他の多くの種類のアカウントをGoogle認証システムアプリに追加することができます。
アプリをインストールし、新しいアカウントを設定するときにコードをスキャンすると、そのアプリは約30秒ごとに新しいコードを生成します。アカウントにログインするときに、スマートフォンのアプリに表示されている現在のコードとパスワードを入力する必要があります。
これにはセルラー信号はまったく必要ありません。アプリがこれらの時間制限コードを生成できるようにする「シード」は、デバイスにのみ保存されます。つまり、あなたの電話番号にアクセスしたり、テキストメッセージを傍受したりした人でも、あなたのコードを知らないため、はるかに安全です。
一部のサービス-たとえば、 BlizzardのBattle.netオーセンティケーター —専用のコード生成アプリもあります。
物理認証キー
関連: U2Fの説明:Googleや他の企業がユニバーサルセキュリティトークンを作成する方法
物理認証キーは、人気が高まり始めているもう1つのオプションです。 テクノロジーおよび金融セクターの大企業は、U2Fと呼ばれる標準を作成しています 、および物理的なU2Fトークンを使用して Google、Dropbox、GitHubアカウントを保護します 。これは、キーチェーンに付ける小さなUSBキーです。新しいコンピューターからアカウントにログインする場合は、USBキーを挿入してボタンを押す必要があります。それだけです。入力コードはありません。将来的には、これらのデバイスは、USBポートのないモバイルデバイスと通信するためにNFCおよびBluetoothと連携する必要があります。
このソリューションは、傍受されたり混乱したりすることがないため、SMS検証や1回限りのコードよりもうまく機能します。また、よりシンプルで使いやすくなっています。たとえば、フィッシングサイトでは、偽のGoogleログインページが表示され、ログインしようとしたときに1回限りのコードがキャプチャされます。その後、そのコードを使用してGoogleにログインできます。ただし、ブラウザと連携して機能する物理認証キーを使用すると、ブラウザは実際のWebサイトと通信していることを確認でき、攻撃者がコードをキャプチャすることはできません。
将来的には、これらの多くが表示されることを期待してください。
アプリベースの認証
関連: Googleの新しいコードレス2要素認証を設定する方法
一部のモバイルアプリは、アプリ自体を使用して2要素認証を提供する場合があります。たとえば、Googleは現在 コードレス2要素認証 スマートフォンにGoogleアプリがインストールされている限り。別のパソコンやデバイスからGoogleにログインしようとするときはいつでも、スマートフォンのボタンをタップするだけで、コードは必要ありません。 Googleは、ログインを試みる前に、スマートフォンにアクセスできることを確認しています。
Appleの2段階認証 アプリは使用しませんが、iOSオペレーティングシステム自体を使用しますが、同様に機能します。新しいデバイスからログインしようとすると、iPhoneやiPadなどの登録済みデバイスに送信される1回限りのコードを受け取ることができます。 Twitterのモバイルアプリには、 ログイン確認 同じように。また、GoogleとMicrosoftは、この機能を グーグル そして Microsoftオーセンティケーター スマートフォンアプリ。
電子メールベースのシステム
他のサービスはあなたを認証するためにあなたの電子メールアカウントに依存しています。たとえば、Steamガードを有効にすると、Steamは、新しいコンピューターからログインするたびに、メールに送信される1回限りのコードを入力するように求めます。これにより、少なくとも、攻撃者がそのアカウントにアクセスするには、Steamアカウントのパスワードと電子メールアカウントへのアクセスの両方が必要になります。
これは、他の2段階認証方法ほど安全ではありません。特に、2段階認証プロセスを使用していない場合は、誰かがあなたのメールアカウントに簡単にアクセスできる可能性があるためです。より強力なものを使用できる場合は、電子メールベースの検証を避けてください。 (ありがたいことに、Steamはモバイルアプリでアプリベースの認証を提供しています。)
最後の手段:回復コード
関連: 2要素認証を使用するときにロックアウトされないようにする方法
回復コード 2要素認証方式を失った場合に備えて、セーフティネットを提供します。 2要素認証を設定すると、通常、書き留めて安全な場所に保管する必要のあるリカバリコードが提供されます。 2段階の検証方法を紛失した場合は、これらが必要になります。
2段階認証を使用している場合は、リカバリコードのコピーがどこかにあることを確認してください。
アカウントごとにこれほど多くのオプションはありません。ただし、多くのサービスでは、選択できる複数の2段階の検証方法が提供されています。
複数の2要素認証方法を使用するオプションもあります。たとえば、コード生成アプリと物理的なセキュリティキーの両方を設定した場合、物理的なキーを紛失した場合でも、アプリを介してアカウントにアクセスできます。
