パスワードだけではオンラインアカウントを保護するのに十分ではありません。データ侵害は毎年数十億の認証情報を暴露し、強力なパスワードでもフィッシング、キーロガー、または総当たり攻撃を通じて侵害される可能性があります。二要素認証(2FA)は防御の2層目を追加します — 誰かがあなたのパスワードを盗んでも、第二要素なしではあなたのアカウントにアクセスできません。このガイドでは、2FAとは何か、各方法がどのように機能するか、どのタイプが最も安全か、そして最も重要なアカウントでそれを設定する方法について説明します。これは、デジタルライフを保護するために取ることができる最も効果的なステップの1つです。
二要素認証の種類
SMSコード
ワンタイムコードがテキストメッセージで電話番号に送信されます。ログインを完了するために、パスワードの後にこのコードを入力します。SMS 2FAは最も広く利用可能な方法です — ほぼすべてのサービスがサポートしており、追加のアプリやハードウェアは必要ありません。ただし、SIMスワッピング攻撃(攻撃者がキャリアにあなたの電話番号を彼らのSIMカードに転送するよう説得する)とテキストメッセージを傍受できるSS7プロトコルの悪用に対する脆弱性のため、最も弱い形式の2FAです。
- 長所: 広くサポート、アプリ不要、どの携帯電話でも動作
- 短所: SIMスワッピング、SS7傍受、電話キャリアへのソーシャルエンジニアリング攻撃に脆弱
認証アプリ(TOTP)
時間ベースのワンタイムパスワード(TOTP)アプリは、共有秘密と現在の時刻を使用して30秒ごとに新しい6桁のコードを生成します。人気のあるアプリには、Google Authenticator、Authy、Microsoft Authenticator、Ente Authが含まれます。コードはデバイスでローカルに生成されるため、TOTPはSMSよりも大幅に安全です — 傍受する伝送チャネルがありません。コードはオフラインで動作し、電話番号に関連付けられていません。これは、強力なセキュリティと使いやすさのバランスをとる、ほとんどの人に推奨される2FA方法です。
- 長所: 安全、オフライン対応、無料アプリ利用可能、電話番号に関連付けされていない
- 短所: バックアップコードなしでデバイスを失うとロックアウトされる; フィッシングサイトは依然としてリアルタイムでコードをキャプチャできる
ハードウェアセキュリティキー
YubiKey、Google Titan、SoloKeysのような物理デバイスをUSBポートに接続するか、NFCをタップして認証します。ハードウェアキーはFIDO2/WebAuthn標準を使用し、設計上フィッシング耐性があります — キーは認証前にウェブサイトのドメインを暗号学的に検証し、フィッシングサイトが傍受することを不可能にします。Googleはすべての従業員にハードウェアキーの使用を要求し、実装以来フィッシング攻撃の成功はゼロと報告しています。キーは25〜70ドルで、利用可能な最も安全な2FA方法です。
- 長所: 最強のセキュリティ、フィッシング耐性、電池不要、オフラインで動作、耐久性
- 短所: 25〜70ドルのコスト、紛失または忘れる可能性、すべてのサービスがサポートしていない
バイオメトリクス
指紋スキャナー(Touch ID)、顔認識(Face ID)、虹彩スキャナーは、認証要素としてあなたの身体的特徴を使用します。バイオメトリクスは便利です — 常に身につけていて、忘れることがありません。多くのデバイスやサービスでパスワードと並んで第二要素として機能します。ただし、バイオメトリクスは(パスワードと違って)侵害された場合に変更できず、多くの管轄区域で法執行機関によって強制される可能性があります。デバイスによって品質が大きく異なります。
- 長所: 便利、常に利用可能、迅速な認証、複製困難
- 短所: 侵害された場合に変更不可、法的に強制される可能性、デバイスによって品質が異なる
パスキー
パスキーは、パスワードを完全に置き換えるように設計された最新の認証標準です。FIDO2/WebAuthnに基づき、パスキーは公開鍵暗号を使用します — あなたのデバイスは秘密鍵を保存し、サービスは対応する公開鍵を保存します。認証はデバイスの生体センサーまたはPINを通じて行われ、入力、フィッシング、または盗難するパスワードはありません。Apple、Google、Microsoftはオペレーティングシステムにパスキーサポートを統合しています。パスキーはiCloud Keychain、Google Password Manager、または他のプロバイダーを介してデバイス間で同期し、ハードウェアキーのセキュリティとバイオメトリクスの利便性を組み合わせます。
- 長所: フィッシング耐性、覚えるべきパスワードなし、デバイス間で同期、高速
- 短所: 比較的新しい、まだ普遍的にサポートされていない、同期されたパスキーでのプラットフォームロックインの懸念
2FAの設定方法
2FAの設定は、アカウントあたり5分以内で完了します。これは、ほとんどの人に推奨される認証アプリベースの2FAのプロセスです:
- セキュリティ設定を開きます。 アカウントのセキュリティ設定に移動します。「二要素認証」、「2段階認証」、または「ログインセキュリティ」を探します。Googleでは、myaccount.google.com > セキュリティ > 2段階認証に移動します。Appleでは、設定 > [あなたの名前] > サインインとセキュリティに移動します。
- 2FA方式を選択します。 セキュリティと利便性のバランスを最もよくするには、「認証アプリ」を選択してください。TOTPアプリを持っていない場合はインストールしてください — Google Authenticator、Authy、Ente Authはすべて堅実な選択肢です。AuthyとEnte Authは、コードの暗号化されたクラウドバックアップを提供します。
- QRコードをスキャン 認証アプリで画面に表示されるQRコードをスキャンします。アプリは30秒ごとに更新される6桁のコードを生成します。現在のコードを入力して、設定が正しく機能していることを確認します。
- バックアップコードをすぐに保存します。 ほとんどのサービスは、認証デバイスを失った場合にアクセスを回復できるワンタイムリカバリコードを提供します。これらをパスワードマネージャーに保存するか、印刷するか、書き留めてデバイスとは別の安全な場所に保管してください。バックアップコードがないと、スマートフォンを失うとアカウントから永久にロックアウトされる可能性があります。
2FAのベストプラクティス
- まずメールアカウントで2FAを有効にする — それは他のすべてのアカウントへのマスターキーです。誰かがあなたのメールを侵害すると、それにリンクされているすべてのサービスでパスワードをリセットできます。あなたのメールは、2FAで保護する単一で最も重要なアカウントです。
- 可能な限りSMSの代わりに認証アプリを使用する。TOTPアプリはSIMスワッピングとSS7攻撃に対して免疫があります。サービスがSMSベースの2FAのみを提供する場合、とにかくそれを使用してください — SMS 2FAは2FAがまったくないよりも劇的に優れています。
- バックアップコードを安全で別の場所に保管します。 パスワードマネージャー(2FAで保護されているものとは異なる)に保存するか、印刷して金庫に保管するか、安全に保管された紙に書きます。認証アプリと同じデバイスに暗号化されていないノートにバックアップコードを保存しないでください。
- 最も重要なアカウントにハードウェアセキュリティキーを検討してください — メール、銀行、クラウドストレージ、パスワードマネージャー。YubiKey 5 NFC(50ドル)は、USB-A、USB-C、NFCで動作し、ほぼすべてのデバイスをカバーします。バックアップを持つために、アカウントごとに2つのキーを登録してください。
- どのアカウントで2FAが有効になっているかを定期的に監査します。 追跡するためにパスワードマネージャーを使用します。優先順位:メール、銀行および金融サービス、クラウドストレージ、ソーシャルメディア、保存された支払い方法を持つショッピングサイト、および任意の仕事または専門アカウント。