2要素認証を使えばいいってもんでもないが

昨日、銀行の2要素認証(ワンタイムパスワード・スマートフォン承認機能)について書いたが、

最近、Twitterのアカウント乗っ取り対策の必要性を訴える話があって、

そこで2要素認証という話があるのだが、なかなか難しいなと思った。


Twitterに限った話ではありませんが、2要素認証を任意で利用できるWebサービスは多い。

僕が任意で2要素認証を使っているものとしては、Dropbox・お名前.comがある。

前者はGoogle Authenticatorを利用したTOTP(Time-based One-time Password)、

後者についてはSMS認証を、それぞれパスワード認証と併用しているわけですね。

ただ、これらの2要素認証を使えるが使っていないサービスは多い。

TwitterとかAmazon.co.jpとか、けっこうあるかもなぁ。

お名前.comはSMS認証が導入されたときから使ってるけど、Dropboxを2要素認証化したのはわりと最近。

2要素認証を使うかは任意なので、アカウントの重要性により判断せよということだと思うが。

(お名前.comはドメイン・サーバー管理に関わることだから、超重要なのは見てわかる通り)


Twitterなんて便所みたいなもんじゃないかという話はありつつ、

企業の広報ツールとして使われることもあり、アカウント乗っ取りは大きな脅威である場合もある。

あと、Twitterを他のアカウントのログイン手段として使っているケースもあるような気もして、

僕もそんな使い方してるのあったかなと調べたら、実はいくつかあって。

わりとしょうもないアカウントだけだと思い込んでたが、バンダイナムコIDと紐付いてることに気づいた。

なんでそんなことしてたんだろ。Twitterに紐付けるのは違うだろうと変更したけど。


それはさておき、Twitterに2要素認証を付けることの課題は、

そんなにログイン頻度が高くない中で2要素認証手段を失ってしまうリスクがあることである。

スマートフォン買い換えたらTwitterにログインできなくなったという話も聞くほどである。

さすがにそれはマヌケにすぎると思うのだが、ここに2要素認証を入れるとそのリスクはさらに高まるんじゃないか。

ちなみにTwitterで利用できる2要素認証としてはSMS・TOTP(Google Authenticator他)・FIDOセキュリティキーがある。

まず、セキュリティキーは普通の人は持ってないし、全てのデバイスに接続できるわけではない。

だからSMSかTOTPということになるが、Twitterの認証を要するのはだいたい新規端末を使い始めるときと考えると、うっかりすると危ないところである。

ワークアラウンドとしてはバックアップコードがあるが、果たして掘り出せるかどうか。


先日、銀行の認証アプリの初期設定は電話番号認証だけでやるところが多いという話を書いた。

ゆうちょ認証アプリの登録に本人確認

ゆうちょ銀行はここに本人確認書類のICチップ読み込みと顔認証を追加すると言っている。

これは従来、窓口での変更手続きが必要だった電話番号変更がATMでできるようになったこととも関連するのではないかと考えていると書いた。

一方で、みずほ銀行は既存ワンタイムパスワード認証に加え、郵送を要する。

ワンタイムパスワードを使えない場合は窓口で対面の手続きが必要となる。

非常に厳格で面倒だが、実店舗を有する みずほ銀行 だからこそ取れる手とも言える。


アカウントの乗っ取り防止とログイン手段の紛失防止を両立できる方法として、

アカウント連携によるログインというのもあるんじゃないかなと思う。

Yahoo!アカウントやGoogleアカウントはそれぞれ電話回線やハードウェアに紐付いている。

また、端末紛失時などのワークアラウンドもきちんと準備されている。

というわけで、できるだけここに紐付けているのだが、パスワードログインを無効化できるものは少ない。

ちなみにTwitterはGoogle・Appleのアカウントに紐付けられる。

ただしGoogleアカウントに紐付けるためにはGoogleに登録されているE-mailアドレスと一致する必要がある。

これがあるからGoogleアカウントへの紐付けが出来てないんだよな。

あと、他のアカウントと紐付けてもパスワードログインは無効化されないはず。

インチキなパスワードに変更しておけば不正ログインのリスクは減ると想うが、根本的にパスワードが使えなくなるわけではない。


というところでTwitterの不正ログイン対策は難しいなと思う。

とはいえ電話番号が変わらないならSMSでいいでしょうね。

もうSMS認証がいろいろなところで使われすぎて、電話番号の変更が非常に難しい時代である。


だいぶ前にYahoo!にパスワードを取り上げられた話を紹介しましたけど。

パスワードを没収されたので

Yahoo!は電話番号が変わろうが、端末を紛失しようが、パスワードは使わないけど。

ただ、他のサービスだとパスワードレス化しても端末変更時だけはパスワードを使うというのがある。

dアカウント(最近アプリ認証に変えた)もLINE(電話番号登録したのでFacebook連携を切った)もそうらしい。

それでパスワード忘れたとしてもパスワードリセットすればいいんだが。

ここら辺はパスワードがバレても、SMS認証など要するので端末変更は容易にできない仕組みですが。


数多のサービスについて、このあたりのリスクはなかなか精査し切れてないですね。

Yahoo!アカウント(Y!mobile携帯電話契約やPayPayとも紐付く)と、Googleアカウント(パスワードマネージャーにID/パスワード多数、Gmail)は注意深く検討したし、

銀行のインターネットバンキングは銀行側からセキュリティ強化の要請が来るからよいが、

そういうのを除いて150ぐらいのアカウントがあるみたいなんですよね。

大半はしょうもないものだが、これは乗っ取られるとマズイというものもあろうと思う。

Twitterはこれまで軽視していたがどうだろう?