2段階認証の落とし穴 ー その3: Eメールによる2段階認証 ー

2段階認証の落とし穴

Eメールを上手に使って、安全な2段階認証を

 

トークンソフトウェア以外の2段階認証

 Googole認証システムや、Authy、IIJ SmartKeyなどのトークンソフトウェアは2段階認証(2FA)として非常に強力な手段です。 その反面、スマートフォンを紛失した場合などにリスクがあることを前々回前回でご説明しました。

しかし、2段階認証の手段はトークンソフトウェアだけではありません。仮想通貨取引所では、2段階認証の手段として他のサービスも提供しています。一般的には、SMSとEメールがトークンソフトウェアの代替手段として用意されています。

今日はこの2つのサービスについて解説します。


Eメールによる2段階認証

  Eメールによる2段階認証は、利用者が適切な方法で管理した場合、Google 認証システムにも劣らないセキュリティー対策となります。一方、そうした知識が無く、漫然とEメール経由で暗証番号を受け取っていたのではセキュリティー効果は低くなります。
もちろん、2段階認証を使わないより、Eメールによる認証を追加することでセキュリティーを飛躍的に高めることになりますので、『IT音痴で難しいことは良くわからないけれど、Eメールは使っている』という人は、Eメール認証を積極的に利用しましょう。


Eメールによる2段階認証の弱点

 あなたのPCが不正アクセス(ハッキング)された場合、Eメールも盗み見られる可能性は高いです。また、PC、スマートフォン、タブレットなど、仮想通貨取引用としてに利用している端末を盗まれた場合なども同様に、ID、パスワード、メールが同時に他人の手に渡ってしまうかの魚生があります。 せっかくの2段階認証といえども、通常(1段目)のパスワードと、2段目認証方法が同じ端末で管理されていた場合は、このようなリスクを伴います。
従って、仮想通貨取引に使う端末と、2段階認証のトークンを受け取る端末は必ず別に用意しましょう。


Eメールによる2段階認証を上手に利用

 同一端末で2段階認証を利用することが危険な理由は上記の通りです。 裏を返せば、Eメールによる二段階認証を利用するときに、メールを利用する端末を別に用意すればいいのです。

やり方は簡単です。
 2段階認証のトークンを受け取るための専用メールアカウントを無料メールサービス等で作成しメールを閲覧する端末を別ければいいのです。

多くの人は、仮想通貨取引はPCで行い、トークンの受け取りはスマートフォンで行う、と端末を使い分けておられると思いますが、Eメールでも同様にメール受け取りをスマートフォンに限定すればいいのです。そして、普段使っているPCのメーラー(メールソフト)やブラウザには、この2段階認証専用メールのIDやパスワードを記憶させず、利用もしない。とするのです。
こうすることで、トークンサービスと同程度のセキュリティーが確保できます。

しかも、Eメールは、端末が故障したり紛失したりしても、IDとパスワードがあれば直ぐに復旧できるという利便性があります(この場合、IDやパスは金庫等に保管しておきましょう)。

この利便性は、Google認証システムやAuthyに勝ります。


SMSによる2段階認証

 携帯電話やスマートフォンのショートメッセージサービス(Short Message Service)による2段階認証も、多くの取引所が提供しています。
しかし、これを利用するのはお勧めしません。SMSを利用していた場合、端末を紛失したときにその復旧が出来ないか、非常に時間がかかるからです。SMSサービスは電話番号、つまりSIMカードに紐付いているサービスです。もし端末を紛失した場合、当然SIMカードも紛失した状態になるわけですから、代替の電話機を入手しても電話番号が復旧できなければメッセージを受け取ることが出来ないのです。
これでは、Google認証システムなどと変わりません。ならば、EメールかGoogle認証システムを利用した方がマシです。


これで、2段階認証の解説は終わりになります。それぞれの認証方法の特徴を知って、セキュアな仮想通貨取引をしましょう。