What is 2FA (Two Factor Authentication)?
本人であることを追加で確認する仕組みです。まずパスワードを入力し、その後に携帯のコードやハードウェアキーなど二つ目の証明で確認します。本人確認の受付係が名前とリストバンドの両方を確かめるイメージです。
Myth
「強いパスワードがあれば十分だ。」それは違います。パスワードが流出した場合でも、2FA (Two Factor Authentication) は攻撃者が持っていない二つ目の確認で侵入を防ぎます。
How 2FA (Two Factor Authentication) works
長い一日の後で取引所やウォレットのダッシュボードにログインする場面を想像してください。舞台裏では次のような流れになります。
- Step 1: ユーザー名とパスワードを入力します。
- Step 2: サイトがコードや承認のような二つ目の証明を求めます。ATMの個人識別番号(PIN)に似ています。
- Step 3: アプリを開くかキーをタップしてコードや承認を取得します。
- Step 4: コードを入力するかデバイスで確認し、サイトが素早くチェックします。
- Step 5: アクセスが許可され、パスワードだけの場合より資金が安全になります。これが標準的な流れです。
数回試せば手早くこなせます。
Why 2FA (Two Factor Authentication) Matters
コインやアカウント、評判を守りたいならこれが効果的です。
- Benefit: 流出や再利用されたパスワードに乗じた多くの不正アクセスを防ぎます。
- Perspective: フィッシングやSIM乗っ取り、データ漏えいはよくあるので、二つ目の確認は攻撃者にとって大きな障壁になります。
- Relevance: 取引所、NFTマーケットプレイス、ウォレット、管理者アクセスが必要なDAOツールなどでよく見かけます。
Tip
バックアップコードは安全な場所に保管し、予備としてハードウェアキーを追加しておくと、携帯を紛失してもアクセス不能になりにくくなります。
Key Characteristics of 2FA (Two Factor Authentication)
この仕組みの特徴:
- Factors: 知っているものと持っているものまたは生体情報を組み合わせます。
- Timing: コードは短時間で期限切れになるため、盗まれたコードはすぐに無効になります。
- Offline: アプリ生成のコードは電波がなくても動作するので、旅行中や通信障害時に便利です。
- Recovery: バックアップコードや追加デバイスでロックアウトを防げます。
Variations
2FA (Two Factor Authentication) にはいくつかの種類があり、それぞれ利点と注意点があります:
- SMS: テキストメッセージで送られるコード。便利ですがSIM乗っ取りに弱いです。
- Email: メールで届くコード。ないよりは良いがフィッシングの標的になり得ます。
- Authenticator: 時限式ワンタイムパスワード(TOTP) のようなアプリ生成コードで、30秒ごとに変わります。
- Push: 携帯で承認をタップする方式。迅速で分かりやすいです。
- SecurityKey: 物理的なキーをタップする方式。高価値アカウントの強い防御になります。
Reminder
携帯を機種変更する場合は、まず2FA (Two Factor Authentication) のコードを移すかバックアップコードを用意しておきましょう。用意していないとサポート対応が長引きます。
Example
暗号資産取引所にログインしてパスワードを入力し、その後認証アプリを開いて新しい6桁のコードを入力してから出金できる、という流れです。
Fun Fact
銀行カードとPINの組み合わせはこの考え方の早期の例であり、二つ目の確認が今でも馴染み深く感じられる理由です。
Wrap-Up
簡単に言うと: 今すぐ二つ目の確認を追加しておけば、フィッシングメールが届いた瞬間に自分を褒めたくなるはずです。