二要素認証をサポートしている/いないサイトの一覧表…誰もが作成に参加できる

二要素認証!(two-factor authentication, 2FA) それは、大規模なハックが次から次と起きている今のご時世に、あなたのオンラインアカウントのセキュリティを強力に向上させる、しかもいちばん容易な方法の一つだ。

しかし、どのサイトが実際にそれをサポートしているのか? それを調べるのは、一(ひと)苦労だ。でも幸いなことに、コミュニティが作っているこのリストには、有力サイトにおける2FAの有無と、まだないところに採用を催促するためのボタンが載っている。

でも、二要素認証って何だろう? ご心配無用…名前から受ける印象ほど難解ではない。要するに自分のアカウントにログインするとき、二つのもので本人性を確認されるのだ。ひとつは、自分が“知ってる”もの(パスワードなど)、そしてもう一つは、自分が“持ってる”もの(本人の電話番号など)だ。

具体的な実装は一定していないが、いちばん多いのは、(1)パスワードを入力する→(2)あなたの携帯にランダムに生成された使い捨ての第二パスワードが送られてくる→(3)それを入力する、という流れだ。ハッカーは、あなたのアカウントにアクセスするために、パスワードだけでなく携帯電話も盗まなければならない(あるいは通信内容を横取りしなければならない)。それが絶対に不可能とは言えないまでも、相当困難な窃盗行為であることは確実だ。

上でリンクを紹介したTwoFactorAuth.orgは、比較的大きなサイトの2FAのある・なしを調べている。たとえばLinkedInはテキストメッセージングを使う方法を実装しているし、Steamは使い捨てパスワードをメールで送ってくる。

そして2FAをサポートしていないサイトの欄には、大きな“TELL THEM TO SUPPORT 2FA”ボタンがあるので、それを押すと、そのサイトに2FAを催促するツイートが自動的に送られる。

このリストはGitHubの公開リポジトリで管理されているから、誰もが新しい情報をここに加えることができる(README.md…Contributing参照)。

現在の最大の問題児たちは、このリストによるとMint、Amazon、Zappos、BitBucket、そしてHerokuだ。Amazonは、デベロッパ向けサービスでは2FAを採用しているが、eコマースなど消費者向けサービスではまだだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。