自分のアカウントをハッカーの手に渡したい人などいない。今日(米国時間1/26)Facebookは、アカウントへの侵入を未然に防ぐための新機能を追加した。
Facebookユーザーは、ログイン時の個人認証にセキュリティーキーを使えるようになった。セキュリティーキーを使えば、たとえユーザー名とパスワードを知られたとしても、ハッカーはFacebookアカウントにアクセスすることはできない。
セキュリティーキーとは、二要素認証の一種で、ログイン時の本人証明に新たなセキュリティー要素を追加する。
一般的な二要素認証プロセスでは、ユーザーがユーザー名とパスワードを入力すると、テキストメッセージで認証コードが送られてくる。ユーザーがそのコードを入力することで、アカウントの正式なユーザーであり、ハッカーが盗んだパスワードでログインしようとしているのではないことを証明できる。
しかしこの方法には欠点がある。執拗なハッカーがユーザーの携帯電話のSIMをリセットし、SMSメッセージを横取りすることがある。昨年夏に活動家のディレイ・マッケソンが標的にされたハックで使われた手順だ。
セキュリティーは認証コードをユーザーに送らずに済ませることで、この問題を解決する。Yubico等が製造するキーをUSBポートに挿入すると一回限りの認証コードがワンタッチで生成される。SMSと異なりセキュリティーキーそのものを物理的にアクセスしない限りコードを盗むことはできない。セキュリティーキーは安全性を高めるだけでなく、二要素認証によるログイン手順を少し速くシームレスに感じさせてくれる。テキストメッセージが来るのを待つ必要がないからだ。しかも、テキストメッセージが使えなくてもキーを利用できるので、携帯電話の届かない場所にいても、Facebookアカウントにアクセスできる。
既にGoogleやDropboxのログインにセキュリティーを使っている人は、買い直す必要はない。同じキーを様々なサービスのアカウントで使うこともできる。
Facebookのセキュリティー担当エンジニア、Brad Hillによると、この機能は社内のエンジニアリング部門で既に使っていたので、一般公開は容易だったという。
「われわれは二要素認証を必須だとは考えていない」とHillは説明する。「アカウントのセキュリティーは、ユーザーがどんなテクノロジーを選ぶかによらずわれわれの責任だと思っている。自分を守るために最新技術を使った攻撃にも対抗したい人にとって、これは良い選択肢になるだろう」
残念ながら、ほとんどのモバイル端末にはセキュリティーキーを利用する良い方法がまだない。モバイルでFacebookにログインするとき、ほとんどのユーザーは通常のSMSによる二要素プロセスを使う必要がある(Facebookは、Facebookアプリを通じて認証コードを生成する方法も提供している)。NFC内蔵のAndroid機と最新バージョンのChromeとGoogle Authenticatorを使えるユーザーは、FacebookのモバイルウェブサイトでNFC対応キーを使って個人認証できる。
モバイル端末でセキュリティーキーを使う上でのこの問題は、将来解決するとHillは期待している。現在は一部のAndroidユーザーに限定されているが、今後Androidプラットフォーム上でセキュリティーキーに対応したAPIが増えるだろうとHillは言う。そうなれば他のプラットフォームも追従するだろう。
今すぐセキュリティーを有効にするには、アカウントのセキュリティー設定へ行き[ログイン認証]で「セキュリテー・キーを追加]をクリックすればよい(注:ブラウザーにChromeまたはOperaを使っているユーザーのみ利用できる)。
[原文へ]
(翻訳:Nob Takahashi / facebook)
