Googleが2段階認証をもっと簡単に、安全にしました

Googleが2段階認証をもっと簡単に、安全にしました 1

これでソーシャルエンジニアリングにも負けなくなる。

Googleが2段階認証をより簡単にしました。今まで2段階認証を使うには、6ケタの認証コードをテキストメッセージで送ってもらい、それをログインしたいデバイスに入力する必要がありました。でもこれからは、上の画像にあるみたいに、スマートフォンアプリに表示される「イエス」か「ノー」ボタンを押すだけでOKです。これでユーザー側の手間が省けるだけでなく、より安全にもなるんです。

より安全、というのはふたつの意味があります。まずそもそも2段階認証が使いやすくなれば、より多くの人がそれを使うようになり、ハックされにくくなります。

2段階認証は、もっとも簡単にセキュリティ向上できる方法のひとつです。ちょっとだけ面倒ではありますが、メリットはそれに見合う以上のものがあります。だって万一悪意のあるハッカーにユーザー名とパスワードを盗まれても、2段階認証を設定しておけば、他人にログインされる可能性は、ほぼなくなるんです。

だからGoogleだけじゃなくオンラインバンキング、Facebook、Twitterなどなど、可能な限りあらゆるアカウントで設定しておくべきです。どのサービスが2段階認証に対応しているかのリストもあります。

ただ2段階認証にも抜け穴があり、この点が今回安全になったもうひとつのポイントです。2段階認証用のコードはたいていテキストメッセージで送られてきますが、これだとハッカーが携帯電話会社のカスタマーサービスに電話し、本来のユーザーになりすまして認証コードを聞き出す可能性があります。いわゆるソーシャルエンジニアリングという手法です。ハッカーがその最後の砦を突破してしまったら、盗んだユーザー名とパスワード、そしてカスタマーサービスから聞き出したコードも入れて、あとはやりたい放題です。

そこまでやられるのは稀なケースですが、著名な人はターゲットにされています。たとえば今月、黒人人権運動Black Lives Matterの活動家、DeRay McKessonさんが、このような手法でTwitterアカウントをハックされてしまいました。

午前10時31分、誰かが(私が契約している通信会社)Verizonに電話して私になりすまし、SIMの変更に成功した。また電話番号の変更も試みたが、それは失敗に終わったようだ。ハッカーはVerizonに電話して私の電話のSIMを変更し、私がきっちり設定していた2段階認証をバイパスしてしまった。

こんな事態を避けるためのベストな解決策は、Googleが始めたように、サービス事業者側がアプリ内認証を提供することです。そうすれば、ユーザー側はテキストメッセージを受け取る代わりにアプリを立ち上げ、ボタンを押すなりコードを受け取るなりすればOKです。Googleだけでなく、FacebookやTwitterでもアプリ内認証を提供していますが、Googleはそれをとても簡単にしたんです。

このGoogleのアップデートはAndroidとiOS向けに提供しているところですが、iOSでこれを使うにはGoogleアプリをダウンロードする必要があります。まだ2段階認証使っていなかった方も、この機会にぜひ設定してみましょう。ぜひ。

Image: Google / Gizmodo

source: Google

William Turton - Gizmodo US[原文

(miho)