二要素認証をやさしく解説

二要素認証は、ほとんどの人が使っていない最も効果の高いセキュリティ設定です。Microsoftが公表 している数字によれば、自動化されたアカウント乗っ取りの99%以上を阻止します。それでも面倒な ものという評判があるのは、3つのよくあるタイプ（「SMSコード」「認証アプリ」「セキュリティ キー」）が交換可能なものとして語られてきたためでもあります。実際はそうではありません。 実用的な内容を解説します。

2FAが実際にやっていること

パスワードは常に漏洩しています。データベースのリーク、フィッシングページ、ブラウザマルウェア、 パスワードの使い回し — あなたのパスワードの1つが誰かのスプレッドシートに載ってしまう経路は 山ほどあります。2FAは、知っているだけでなく、持っているものに結びついた2つ目の チェックを追加します。パスワードを盗む攻撃者は、リアルタイムで、同じデバイス上で、その2つ目 の要素も盗む必要があり — はるかに困難です。

SMS 2FA

6桁のコードがテキストメッセージで届きます。それを入力します。すべての電話が既に対応している ため最も使いやすく、それゆえこれは受け入れ可能なセキュリティの最低ラインでもあります: 資格情報総当たりボットを止めるには十分ですが、SIMスワップ攻撃（攻撃者がキャリアを説得して あなたの番号を移動させる）や、より脆弱なネットワークでのSMS傍受には弱いです。

適している場面: 別のアプリを入れたくない低重要度のアカウント。フォーラム、 ショッピングサイト、メーリングリスト。

適さない場面: メール、銀行、政府ポータル、他のアカウントを制御するもの。

認証アプリ (TOTP)

Google Authenticator、1Password、Bitwarden、Authyのようなアプリは、デバイスにのみ保存される シークレットから派生して、30秒ごとに新しい6桁のコードを生成します。SMSもキャリアも介在しません — コードはオフラインで動作します。あなたのパスワードと単発のコードを取得するフィッシング攻撃 はまだ通用しますが、SIMスワップはもう関係ありません。

セットアップのコツ: サイトがQRコードを表示するとき、テキストのシードも一緒に 保存してください（ほとんどの認証アプリでエクスポート可能）。シードもリカバリーコードもなしで 電話を失うと、すべてのアカウントを最初からリセットする必要があります。

適している場面: ほぼ何でも。メールプロバイダー、ソーシャルプラットフォーム、 暗号資産取引所、開発者ツールの大半がTOTPに対応しており、無料です。

セキュリティキー (FIDO2 / WebAuthn / passkeys)

USBまたはNFCキー（YubiKey、Titan、最近ではiOSとAndroidのキーチェーンに組み込まれた「passkeys」も） がログインチャレンジを暗号的に署名します。重要なのは、サイトのドメインに紐付けされていること です — 本物そっくりのフィッシングページでは署名が得られません。これは、よくできたフィッシング を打ち破る唯一の一般的な2FA手段です。

適している場面: メインのメール、パスワードマネージャー、失うわけにいかない もの。キーを2つ買い、両方登録し、1つは引き出しに保管してください。

一時番号の位置づけ

一時SMS番号は初回サインアップには最適ですが、継続的なSMS 2FAには適していません — コードを 受け取る必要が生じる頃には、番号はプールに戻されています。ベストプラクティス: 一時番号で登録し、 すぐにアカウントのセキュリティ設定でTOTPをセットアップし、リカバリーコードを安全な場所に保存 してください。その後は一時番号は消えてかまいません。

リカバリーコードについて触れておく

ほぼすべての2FA設定画面が、一度きりのリカバリーコードのリストを提供します。印刷するか パスワードマネージャーに保存しましょう。全デバイスを失っても戻れる手段です。このステップを スキップしないでください — それなしでアカウントを回復するには、たいてい身分証明書が必要に なり、数週間かかります。

簡単な推奨事項

• メールとパスワードマネージャー: セキュリティキーを優先、TOTPをバックアップに。
• 銀行、証券、取引所: 提供される最高ティアのものを。
• ソーシャル、開発ツール、業務SaaS: TOTP。
• 電話番号を要求する適当なフォーラム: 一時SMS、その後にTOTP。