MFA が重要な理由
パスワードの使い回しや漏えいは避けられません。ワンタイムコード、プッシュ通知、ハードウェアキー、生体認証といったリアルタイムの確認を追加することで、特に管理者・金融・メールアカウントのリスクを大幅に削減できます。
代表的な 2FA の種類
SMS(最も脆弱)
対応サービスは多いものの、SIM スワップや SS7 の盗聴、フィッシングに弱いです。より強力な手段がない場合のみ利用しましょう。
メッセージアプリ(WhatsApp、Telegram など)
メッセージが暗号化される分 SMS よりは安全ですが、電話番号に依存するためアカウントが乗っ取られると危険です。
認証アプリ(TOTP)
共有シークレットから 30 秒ごとにオフラインコードを生成します。多くのサービスで推奨される方法です。代表的なアプリ:
- Google Authenticator
- Microsoft Authenticator
- Authy
- 1Password/Bitwarden の組み込み TOTP
- Duo Mobile、Aegis、2FAS など
プッシュ型認証
Okta、Duo、Microsoft、Google などがログイン承認のプッシュ通知を送ります。利便性が高い一方で、プッシュ爆撃(連続通知)攻撃に注意が必要です。不審な通知は必ず拒否しましょう。
ハードウェアセキュリティキー
YubiKey、Feitian、SoloKeys などの FIDO2/WebAuthn デバイスはフィッシング耐性を持つ 2FA を提供します。ログイン前にドメインを検証し、パスキーや PGP をサポートするものもあります。
プラットフォーム認証・パスキー
Windows Hello、Touch ID、Face ID、Android のパスキーなどデバイスに組み込まれた方式です。WebAuthn を用い、フィッシングに強く使い勝手も優れています。
強度と利便性の比較
| 方式 | セキュリティ | 使いやすさ | 主なリスク |
|---|---|---|---|
| SMS | 低 | 非常に高い | SIM スワップ、盗聴、偽のリセットメール |
| 認証アプリ | 高 | 中 | 端末紛失、バックアップ不足 |
| プッシュ通知 | 高 | 高 | プッシュ爆撃/疲労攻撃 |
| ハードウェアキー | 非常に高い | 中 | 紛失、コスト、ポート不足 |
| パスキー/生体認証 | 非常に高い | 非常に高い | サービス対応状況が移行中 |
ベストプラクティス
- SMS より認証アプリやハードウェアキーを優先する。
- 最低 2 種類の要素(予備デバイスまたはキー+復旧コード)を登録する。
- 復旧コードはオフラインの安全な場所に保管する。
- 共有アカウントや管理者にはハードウェアキーを義務化する。
- 対応するサービスではパスキーを有効化し、スムーズに安全なログインを行う。
FAQ
ハードウェアキーを失くしたら?
予備キーや復旧コードを使います。設定時に複数キーを登録しておけばロックアウトを防げます。
認証アプリのコードを新しい端末に移すには?
Authy はクラウド同期に対応しています。その他のアプリは QR コードを再スキャンするかエクスポートします。新端末で動作確認が取れるまで旧端末を保持してください。
アプリのコードはフィッシングされる可能性がある?
はい。リアルタイムの中継攻撃で盗まれる恐れがあります。ハードウェアキーやパスキーはログイン先ドメインを検証するため、フィッシング耐性があります。
2FA チェックリスト
- メール、銀行、クラウド管理コンソールなどから順に 2FA を有効化する。
- ゼロナレッジ設計のマネージャーに強力でユニークなパスワードを保管する。
- 重要な役割には FIDO2 キーなどフィッシング耐性のある要素を導入する。
- 予期しない MFA 要求やコード共有依頼を拒否するようチームを教育する。
- インシデント対応後は復旧コードを見直し、必要に応じて更新する。
免責事項
password.es は現状のまま提供されます。サービスの可用性、情報の正確性、生成パスワードの安全性は保証されません。2FA を導入する際も、強力なパスワード衛生とデバイスセキュリティを組み合わせる責任は利用者にあります。