ホームページ » の仕方 » さまざまな形式の2要素認証SMS、認証者アプリなど

    さまざまな形式の2要素認証SMS、認証者アプリなど

    多くのオンラインサービスでは2要素認証が提供されています。これは、サインインするためにパスワードだけではなくセキュリティを強化するために使用できます。使用できる追加の認証方法にはさまざまな種類があります。.

    異なるサービスは異なる2要素認証方式を提供し、場合によっては、いくつかの異なるオプションから選択することもできます。ここではそれらがどのように機能し、どのように異なるのかを説明します.

    SMSの確認

    多くのサービスでは、アカウントにログインするたびにSMSメッセージを受信するようにサインアップすることができます。そのSMSメッセージには、あなたが入力しなければならない短い使い捨てコードが含まれています。このシステムでは、あなたの携帯電話が2番目の認証方法として使用されます。自分のパスワードがあると、自分のアカウントにアクセスできない場合があります。自分のパスワードと、自分の携帯電話またはそのSMSメッセージへのアクセスが必要です。.

    あなたが特別なことをする必要がなく、ほとんどの人が携帯電話を持っているので、これは便利です。サービスによっては、電話番号をダイヤルしたり、自動化されたシステムでコードを読み上げたりして、テキストメッセージを受信できない固定電話番号でこれを使用できるようにするものもあります。.

    ただし、SMS検証には大きな問題があります。攻撃者はSIMスワップ攻撃を利用して、安全なコードにアクセスしたり、携帯電話ネットワークの欠陥によりそれらを傍受することができます。可能であれば、SMSメッセージを使用しないことをお勧めします。ただし、SMSメッセージは、2要素認証をまったく使用しないよりもはるかに安全です。!

    アプリ生成コード(Google AuthenticatorやAuthyなど)

    携帯電話のアプリでコードを生成することもできます。これを行う最も広く知られているアプリは、GoogleがAndroidとiPhone用に提供しているGoogle Authenticatorです。ただし、Google Authenticatorが実行するすべてのことを実行するAuthyをお勧めします。その名前にもかかわらず、これらのアプリはオープンスタンダードを使用しています。たとえば、Google認証アプリケーションにMicrosoftアカウントやその他多くの種類のアカウントを追加することができます。.

    アプリをインストールし、新しいアカウントを設定するときにコードをスキャンすると、そのアプリは約30秒ごとに新しいコードを生成します。アカウントにログインするときは、携帯電話のアプリに表示されている現在のコードとパスワードを入力する必要があります。.

    これは携帯電話の信号をまったく必要としません、そしてアプリがそれらの時間制限のあるコードを生成することを可能にする「種」はあなたのデバイスにのみ保存されます。つまり、あなたの電話番号にアクセスしたり、あなたのテキストメッセージを傍受した誰かがあなたのコードを知らなくても、それははるかに安全です。.

    たとえばBlizzardのBattle.netオーセンティケータなどの一部のサービスにも、独自のコード生成アプリケーションがあります。.

    物理認証キー

    物理認証キーは、より普及し始めているもう1つのオプションです。テクノロジーおよび金融分野の大企業がU2Fと呼ばれる標準を作成しています。Google、Dropbox、およびGitHubのアカウントを保護するために、物理的なU2Fトークンを使用することはすでに可能です。これは、キーチェーンに付けた小さなUSBキーです。新しいコンピュータからアカウントにログインしたいときはいつでも、USBキーを挿入してボタンを押す必要があります。それはそれだ - タイプコードなし。将来的には、これらのデバイスはUSBポートのないモバイルデバイスと通信するためにNFCとBluetoothで動作するはずです。.

    このソリューションは、傍受されて混乱することがないため、SMS検証および使い捨てコードよりも優れています。それはまたより簡単で使いやすいです。たとえば、フィッシングサイトでは、偽のGoogleログインページが表示され、ログインしようとしたときに使い捨てのコードが記録される可能性があります。その後、そのコードを使用してGoogleにログインする可能性があります。しかし、ブラウザと連携して機能する物理認証キーを使用すると、ブラウザは実際のWebサイトと通信していることを確認でき、コードが攻撃者に捕捉されることはありません。.

    将来的にこれらの多くを見ることを期待しています.

    アプリベースの認証

    一部のモバイルアプリは、アプリ自体を使用して2要素認証を提供することがあります。たとえば、GoogleにGoogleアプリがインストールされている限り、Googleはコードレス2要素認証を提供しています。他のコンピュータやデバイスからGoogleにログインしようとするときはいつでも、電話のボタンをタップするだけでよく、コードは不要です。ログインを試みる前に、Googleはあなたがあなたの電話にアクセスできることを確認しています.

    Appleの2段階認証プロセスも同様に機能しますが、アプリは使用しません - iOSオペレーティングシステム自体を使用します。新しいデバイスからログインしようとするたびに、iPhoneやiPadなどの登録済みデバイスに送信された使い捨てコードを受け取ることができます。 Twitterのモバイルアプリにもログイン確認と呼ばれる同様の機能があります。そして、GoogleとMicrosoftは、この機能をGoogleとMicrosoft Authenticatorのスマートフォンアプリに追加しました。.

    電子メールベースのシステム

    他のサービスはあなたを認証するためにあなたの電子メールアカウントに頼ります。たとえば、Steam Guardを有効にすると、Steamはあなたが新しいコンピュータからログインするたびにあなたのEメールに送られる使い捨てコードを入力するよう促します。これは少なくとも攻撃者があなたのSteamアカウントパスワードとあなたのEメールアカウントへのアクセスの両方がそのアカウントへのアクセスを得ることを必要とすることを確実にします.

    特に2段階認証を使用していない場合は、他の2段階認証方法ほど安全ではありません。より強力なものを使用できる場合は、電子メールによる検証を避けてください。 (ありがたいことに、Steamはモバイルアプリでアプリベースの認証を提供している。)

    ラストリゾート:回復コード

    2要素認証方式を失った場合に備えて、回復コードは安全策を提供します。 2要素認証を設定すると、通常は書き留めて安全な場所に保存する必要がある回復コードが提供されます。 2段階認証方法を失った場合は、それらが必要になります。.

    2段階認証を使用している場合は、復旧コードのコピーがどこかにあることを確認してください。.


    あなたはあなたのアカウントのそれぞれにこれほど多くのオプションを見つけることはありません。ただし、多くのサービスでは、選択可能な複数の2段階認証方法が提供されています。.

    複数の2要素認証方式を使用するという選択肢もあります。たとえば、コード生成アプリケーションと物理的なセキュリティキーの両方を設定した場合、物理的なキーを紛失した場合でも、アプリを介してアカウントにアクセスできます。.