それに加えて設定したいのが「2段階認証」だ。これは、通常のパスワードに加えて、もう一段認証を追加する仕組みで、最近のWebサービスだとスマートフォンを併用して2段階認証を実現している例が多い。2段階認証を使うと、1段階目のIDとパスワードが突破されても、さらにもう一段、確認コードを入力しなければログインできないため、不正ログインが難しくなる。
2段階認証を採用しているWebサービスは、Google、Microsoft、Twitter、Facebook、Apple、Dropbox、Evernote、LastPassなどいくつかある。方式は何種類かあるが、Google、Microsoft、Dropbox、Evernote、LastPassは、「Google認証システム」アプリで2段階認証を設定できる。
|
Google認証システムアプリ。ここに表示されている6ケタの数字を入力する |
|
Dropboxの2段階認証画面。「このコンピュータを信頼する」をチェックしておけば、ログアウトしない限り次から入力する必要はない |
このアプリをインストールして、2段階認証を設定したいアカウントを登録すると、1分ごとに切り替わる専用の確認コードが表示される。あとはWebサービス側で2段階認証をオンにする。これで他人がIDとパスワードを取得してログインしようとしても、確認コードが取得できず、しかもコードは1分ごとに変わるため、強度が高い。
ユーザー側は毎回このコードを入力する必要はなく、例えば端末につき30日ごとといった設定ができるので、その間は、同じ端末からのログインでは確認コードを要求されない。他人が別の端末からログインしようとしたら確認コードが必要になり、それで不正ログインが防げる、というわけだ。
|
こちらはTwitterの2段階認証。ログインしようとするとスマートフォンアプリにリクエストが送信され、アプリから許可・拒否を設定する |
これで絶対に不正ログインができなくなる、というわけではないし、パスワード管理ツールを利用するのと同様に、一手間が増えるため、面倒ではあるかもしれない。しかし、パスワードが漏えいして不正ログインされた時の被害を考えると、その一手間をかけておけば、不正ログインを防御できる可能性が高まる。
