Facebook、セキュリティーキーを使う安全なログイン手順を提供

shutterstock_229862674

自分のアカウントをハッカーの手に渡したい人などいない。今日(米国時間1/26)Facebookは、アカウントへの侵入を未然に防ぐための新機能を追加した。

Facebookユーザーは、ログイン時の個人認証にセキュリティーキーを使えるようになった。セキュリティーキーを使えば、たとえユーザー名とパスワードを知られたとしても、ハッカーはFacebookアカウントにアクセスすることはできない。

セキュリティーキーとは、二要素認証の一種で、ログイン時の本人証明に新たなセキュリティー要素を追加する。

一般的な二要素認証プロセスでは、ユーザーがユーザー名とパスワードを入力すると、テキストメッセージで認証コードが送られてくる。ユーザーがそのコードを入力することで、アカウントの正式なユーザーであり、ハッカーが盗んだパスワードでログインしようとしているのではないことを証明できる。

しかしこの方法には欠点がある。執拗なハッカーがユーザーの携帯電話のSIMをリセットし、SMSメッセージを横取りすることがある。昨年夏に活動家のディレイ・マッケソンが標的にされたハックで使われた手順だ。

セキュリティーは認証コードをユーザーに送らずに済ませることで、この問題を解決する。Yubico等が製造するキーをUSBポートに挿入すると一回限りの認証コードがワンタッチで生成される。SMSと異なりセキュリティーキーそのものを物理的にアクセスしない限りコードを盗むことはできない。セキュリティーキーは安全性を高めるだけでなく、二要素認証によるログイン手順を少し速くシームレスに感じさせてくれる。テキストメッセージが来るのを待つ必要がないからだ。しかも、テキストメッセージが使えなくてもキーを利用できるので、携帯電話の届かない場所にいても、Facebookアカウントにアクセスできる。

既にGoogleやDropboxのログインにセキュリティーを使っている人は、買い直す必要はない。同じキーを様々なサービスのアカウントで使うこともできる。

Facebookのセキュリティー担当エンジニア、Brad Hillによると、この機能は社内のエンジニアリング部門で既に使っていたので、一般公開は容易だったという。

「われわれは二要素認証を必須だとは考えていない」とHillは説明する。「アカウントのセキュリティーは、ユーザーがどんなテクノロジーを選ぶかによらずわれわれの責任だと思っている。自分を守るために最新技術を使った攻撃にも対抗したい人にとって、これは良い選択肢になるだろう」

残念ながら、ほとんどのモバイル端末にはセキュリティーキーを利用する良い方法がまだない。モバイルでFacebookにログインするとき、ほとんどのユーザーは通常のSMSによる二要素プロセスを使う必要がある(Facebookは、Facebookアプリを通じて認証コードを生成する方法も提供している)。NFC内蔵のAndroid機と最新バージョンのChromeとGoogle Authenticatorを使えるユーザーは、FacebookのモバイルウェブサイトでNFC対応キーを使って個人認証できる。

モバイル端末でセキュリティーキーを使う上でのこの問題は、将来解決するとHillは期待している。現在は一部のAndroidユーザーに限定されているが、今後Androidプラットフォーム上でセキュリティーキーに対応したAPIが増えるだろうとHillは言う。そうなれば他のプラットフォームも追従するだろう。

今すぐセキュリティーを有効にするには、アカウントのセキュリティー設定へ行き[ログイン認証]で「セキュリテー・キーを追加]をクリックすればよい(注:ブラウザーにChromeまたはOperaを使っているユーザーのみ利用できる)。

image001

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。