Malwarebytesは2月21日(米国時間)、「How to set up two-factor authentication on Twitter using a hardware key」および「How to set up two-factor authentication on Twitter using an app」において、Twitterの二要素認証(2FA: Two-Factor Authentication)の設定方法を紹介した。
その理由は、TwitterがTwitter Blueの登録者以外のアカウントに対し、テキストメッセージ/ショートメッセージサービス(SMS: Short Message Service)方式による二要素認証の登録を許可しないことを決定したためとしている(参考「TwitterがSMSによる2FAを許可しないことを決定、Twitter Blueの登録者以外 | TECH+(テックプラス)」)。
セキュリティキーを有効化する設定は次のとおり。
- 設定とサポートにある[設定とプライバシー]に移動し、[セキュリティとアカウントアクセス]にある[セキュリティ]を選択。[2要素認証]の設定画面を開く
- [2要素認証]にある[セキュリティキー]をクリックし、パスワードを入力。セキュリティキーをコンピュータのUSBポートに挿入するか、コンピュータのBluetoothまたはNFCで同期させる
- 概要を確認し、[始める] をクリックし、画面上の手順に沿いキーをアカウントに追加する
- Twitterのサインイン時にセキュリティキーを使用するようにすることを許可するか尋ねられる。またデバイスや認証方法にアクセスできなくなった場合に備え、バックアップコードを保存しておく
アプリベースの二要素認証を有効にする設定は次のとおり。
- 設定とサポートにある[設定とプライバシー]に移動し、[セキュリティとアカウントアクセス]にある[セキュリティ]を選択。[2要素認証]の設定画面を開く
- [認証アプリ]をクリックし、パスワードを入力して[認証する]を選択
- QRコードが表示されるため、認証アプリを開いてQRコードをスキャンする
- 認証アプリにTwitter用の6桁のコードが生成されるようになるため、そのコードを利用してTwitterにサインインする。またデバイスや認証方法にアクセスできなくなった場合に備え、バックアップコードを保存しておく
セキュリティキーはテキストメッセージやアプリベースの二要素認証コードと比べ、フィッシングやSIMスワップ攻撃などで窃取されるリスクがなく強力なセキュリティ対策と説明されている。アプリベースの二要素認証コードに関しては、そのコードを盗もうとするフィッシングも出てきているとされ、注意が呼びかけられている。