ツイッター｢SMS認証廃止｣理にかなっているワケ SMSを使った2要素認証はそれほど安全ではない

無料ユーザーは、より強固なセキュリティ方式を採用している別の確認技術に切り換えることもできる。選択肢としては、一時的な認証コードを生成するサードパーティー製のアプリ、または物理的なセキュリティーキーを使用する方法がある。

「2要素認証のための無料認証アプリはこれからも無料だろうし、SMSよりもはるかに安全だ」。ツイッターのオーナー、イーロン・マスクはこのようにツイートした。

セキュリティ企業バグクラウドの最高技術責任者ケーシー・エリスによれば、SMS認証には欠陥があるとするツイッターの指摘は理にかなっている。「やろうとしていることは、確かに理解できる。やり方がクリーンでなかったというだけの話だ」とエリスは語った。

有料会員の認証が強化されない不思議

とはいえ、ツイッターのアプローチにはマイナスの側面もあると、エリスは続けた。SMSを使った認証はとても簡単で、非常に多くの人々に利用されているが、別の認証技術を用いる場合は、設定でさらに多くの手順を踏まなければならなくなる。

（よくわからないのは、有料のツイッターユーザーは今後もSMSで送らてくる認証コードでログインできるという点だ。SMS認証の安全性が低いというのなら、なぜこのような妙な選択をするのだろう。ツイッターにコメントを求めたが、すぐに返答は得られなかった）

ほかの認証方法への切り替えにはわかりにくいところがあるので、ツイッターの無料ユーザーの多くが2要素認証をまったく使わなくなるといったリスクが想定される。

そうした問題はあるにせよ、今回のツイッターの動きは、より強固な2要素認証の手法について学ぶいい機会となる。どのオンラインアカウントでも、SMSではなく、別の認証手法を用いるようにしたほうがいいのはなぜか。以下では、それぞれの認証手法と、そのメリット、デメリットを紹介しよう。