ツイッター｢SMS認証廃止｣理にかなっているワケ SMSを使った2要素認証はそれほど安全ではない

ツイッターの2要素認証の設定では、「バックアップコード」と名付けられたメニューで再度ログインするためのコードが生成される。このコードを書きとめ、安全な場所に保管するのを忘れないようにしたい。

認証アプリを使った2要素認証の設定をきちんと行い、慣れるには多少の時間と精神的な余裕が必要になるが、認証手法としてはこちらのほうが全体的に優れている。SMSのメッセージを盗み取るより、デバイスを乗っ取ってセキュリティーコードを見るほうがはるかに難易度は高い。

最も安全なのは物理的なセキュリティーキー

3つ目の認証手法は、物理的なセキュリティーキーを用いるものだ。セキュリティーキーはUSBスティックなどになっており、これをログインの際にパソコンやスマホに差し込んで使う方法は最も安全性が高い。

ただ、この手法が広く採用される可能性は少ないだろう。というのは、キーのコストがかかる上に、キーを紛失した場合、アカウントへのアクセスを取り戻すのが難しくなることがあるからだ。

それでも、政府機関など、機密性の高い分野で働く人にとってはメリットが大きい。

結論としては、2要素認証の手法としては認証アプリが比較的扱いやすくて、安全性も高い。というわけで、大部分の人には、Google Authenticator（グーグル・オーセンティケーター）、Authy（オーシー）、Microsoft Authenticator（マイクロソフト・オーセンティケーター）などのアプリを1つ選び、それを使い続けることをお勧めしたい。どれも機能としては同じだ。

すべてのオンラインアカウントで認証アプリの設定を行うのは時間がかかるかもしれないが、設定は一度行えば、それで済む。長い目で見れば、認証アプリを使ってログインしたほうが、SMSが届くのを待つ必要もなく、時間の節約になるだろう。

（執筆：Brian X. Chen記者）
（C）2023 The New York Times