二要素認証!(two-factor authentication, 2FA) それは、大規模なハックが次から次と起きている今のご時世に、あなたのオンラインアカウントのセキュリティを強力に向上させる、しかもいちばん容易な方法の一つだ。
しかし、どのサイトが実際にそれをサポートしているのか? それを調べるのは、一(ひと)苦労だ。でも幸いなことに、コミュニティが作っているこのリストには、有力サイトにおける2FAの有無と、まだないところに採用を催促するためのボタンが載っている。
でも、二要素認証って何だろう? ご心配無用…名前から受ける印象ほど難解ではない。要するに自分のアカウントにログインするとき、二つのもので本人性を確認されるのだ。ひとつは、自分が“知ってる”もの(パスワードなど)、そしてもう一つは、自分が“持ってる”もの(本人の電話番号など)だ。
具体的な実装は一定していないが、いちばん多いのは、(1)パスワードを入力する→(2)あなたの携帯にランダムに生成された使い捨ての第二パスワードが送られてくる→(3)それを入力する、という流れだ。ハッカーは、あなたのアカウントにアクセスするために、パスワードだけでなく携帯電話も盗まなければならない(あるいは通信内容を横取りしなければならない)。それが絶対に不可能とは言えないまでも、相当困難な窃盗行為であることは確実だ。
上でリンクを紹介したTwoFactorAuth.orgは、比較的大きなサイトの2FAのある・なしを調べている。たとえばLinkedInはテキストメッセージングを使う方法を実装しているし、Steamは使い捨てパスワードをメールで送ってくる。
そして2FAをサポートしていないサイトの欄には、大きな“TELL THEM TO SUPPORT 2FA”ボタンがあるので、それを押すと、そのサイトに2FAを催促するツイートが自動的に送られる。
このリストはGitHubの公開リポジトリで管理されているから、誰もが新しい情報をここに加えることができる(README.md…Contributing参照)。
現在の最大の問題児たちは、このリストによるとMint、Amazon、Zappos、BitBucket、そしてHerokuだ。Amazonは、デベロッパ向けサービスでは2FAを採用しているが、eコマースなど消費者向けサービスではまだだ。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))
