多くのオンラインサービスは2要素を提供しますサインインにパスワード以上のものを要求することでセキュリティを強化します。使用できる認証方法にはさまざまな種類があります。
さまざまなサービスがさまざまな2要素認証方法を提供し、場合によっては、いくつかの異なるオプションから選択することもできます。これらがどのように機能し、どのように異なるかを以下に示します。
SMS検証
関連する: 二要素認証とは何ですか?なぜ必要なのですか?
多くのサービスでは、サインアップして受信することができますアカウントにログインするたびのSMSメッセージ。そのSMSメッセージには、入力が必要な1回限りの短いコードが含まれます。このシステムでは、携帯電話が2番目の認証方法として使用されます。誰かがあなたのパスワードを持っている場合、単にあなたのアカウントに入ることができません。彼らはあなたのパスワードとあなたの電話またはそのSMSメッセージへのアクセスを必要とします。
必要ないので便利です特別なもの、そしてほとんどの人は携帯電話を持っています。一部のサービスでは、電話番号をダイヤルし、自動システムでコードを話すこともできるため、テキストメッセージを受信できない固定電話番号で使用できます。
ただし、SMSには大きな問題があります検証。セルラーネットワークの欠陥により、攻撃者はSIMスワップ攻撃を使用して安全なコードにアクセスしたり、傍受したりできます。可能であれば、SMSメッセージの使用はお勧めしません。ただし、SMSメッセージは、2要素認証をまったく使用しないよりもはるかに安全です。
アプリ生成コード(Google認証システムと認証システムのように)
関連する: 2要素認証のAuthyをセットアップする方法(およびデバイス間でコードを同期する)
アプリでコードを生成することもできます携帯電話で。これを行う最も広く知られているアプリは、GoogleがAndroidおよびiPhone向けに提供しているGoogle Authenticatorです。ただし、Google Authenticatorが行うすべての機能を実行するAuthyをお勧めします。名前にもかかわらず、これらのアプリはオープンスタンダードを使用しています。たとえば、Microsoftアカウントや他の多くの種類のアカウントをGoogle認証システムアプリに追加できます。
アプリをインストールし、セットアップ時にコードをスキャンします新しいアカウント、およびそのアプリは約30秒ごとに新しいコードを生成します。アカウントにログインするときに、携帯電話のアプリに表示されている現在のコードとパスワードを入力する必要があります。
これにはセルラー信号はまったく必要ありませんが、アプリがこれらの期間限定コードを生成できるようにする「シード」は、デバイスにのみ保存されます。つまり、電話番号にアクセスしたり、テキストメッセージを傍受したりしても、コードを知らないので、はるかに安全です。
一部のサービス(BlizzardのBattle.net Authenticatorなど)には、専用のコード生成アプリもあります。
物理認証キー
関連する: U2Fの説明:Googleと他の企業がユニバーサルセキュリティトークンを作成する方法
物理認証キーは別のオプションですより人気が出始めています。テクノロジーおよび金融セクターの大企業はU2Fと呼ばれる標準を作成しています。物理U2Fトークンを使用して、Google、Dropbox、およびGitHubアカウントを保護することはすでに可能です。これは、キーチェーンに置く小さなUSBキーです。新しいコンピューターからアカウントにログインするには、USBキーを挿入してボタンを押す必要があります。それだけです。入力コードはありません。将来、これらのデバイスは、USBポートなしでモバイルデバイスと通信するためにNFCおよびBluetoothで動作するはずです。
このソリューションは、SMS検証よりもうまく機能します傍受や混乱ができないため、1回限りのコードです。また、よりシンプルで使いやすいです。たとえば、フィッシングサイトは偽のGoogleログインページを表示し、ログインしようとしたときに1回限りのコードをキャプチャします。その後、そのコードを使用してGoogleにログインできます。ただし、ブラウザと連携して動作する物理認証キーを使用すると、ブラウザは実際のウェブサイトと通信していることを確認でき、攻撃者がコードをキャプチャすることはできません。
将来これらの多くを見ると期待しています。
アプリベース認証
関連する: Googleの新しいコードレス2要素認証を設定する方法
一部のモバイルアプリは2要素を提供する場合がありますアプリ自体を使用した認証。たとえば、携帯電話にGoogleアプリがインストールされている限り、Googleはコードレスの2要素認証を提供するようになりました。別のコンピューターやデバイスからGoogleにログインしようとするときはいつでも、電話のボタンをタップするだけで、コードは不要です。 Googleは、ログインを試みる前に携帯電話にアクセスできることを確認しています。
Appleの2段階認証は同様に機能しますが、アプリは使用しませんが、iOSオペレーティングシステム自体を使用します。新しいデバイスからログインしようとするたびに、iPhoneやiPadなどの登録済みデバイスに送信された1回限りのコードを受信できます。 Twitterのモバイルアプリにも、ログイン確認と呼ばれる同様の機能があります。また、GoogleとMicrosoftはこの機能をGoogleおよびMicrosoft Authenticatorスマートフォンアプリに追加しました。
メールベースのシステム
他のサービスはあなたのメールアカウントに依存していますあなたを認証します。たとえば、Steam Guardを有効にすると、Steamは新しいコンピューターからログインするたびにメールに送信される1回限りのコードを入力するように求めます。これにより、少なくとも攻撃者がSteamアカウントのパスワードとメールアカウントへのアクセスの両方を必要として、そのアカウントにアクセスできるようになります。
これは他の2つのステップほど安全ではありません特に2段階認証を使用していない場合、誰かがあなたのメールアカウントに簡単にアクセスできるようにするための検証方法!より強力なものを使用できる場合は、電子メールベースの検証を避けてください。 (ありがたいことに、Steamはモバイルアプリでアプリベースの認証を提供しています。)
最後の手段:回復コード
関連する: 2要素認証を使用するときにロックアウトされないようにする方法
回復コードは、あなたが二要素認証方法を失います。二要素認証を設定する場合、通常、書き留めて安全な場所に保存する必要がある回復コードが提供されます。 2段階認証方法を失った場合に必要になります。
2段階認証を使用している場合は、リカバリコードのコピーがどこかにあることを確認してください。
アカウントごとにこれほど多くのオプションはありません。ただし、多くのサービスでは、複数の2段階認証方法を選択できます。
複数を使用するオプションもあります二要素認証方法。たとえば、コード生成アプリと物理セキュリティキーの両方を設定した場合、物理キーを紛失した場合、アプリを介してアカウントにアクセスできます。
