今週末、CBSの3つのブランド(「60 Minutes」、「48 Hours」、デンバーのニュース系列局)のTwitterアカウントが乗っ取られ、その後停止されたことを受けて、2要素認証が再び注目を集めている。
これらの事件は、ここ数カ月間に侵害を受けたメディアや大企業の長いリストに加わることになる。
では、なぜパスワードのみの認証よりも厳しいアカウントアクセス方法である二要素認証をもっと多くの人が利用しないのでしょうか?答えは、どう捉えるかによって、怠惰か摩擦かのどちらかです。
企業における二要素認証は、ハードウェアトークンを利用しています。このトークンは、短時間有効なパスコードを生成するもので、通常のパスワードに加えて入力する必要があります。GoogleやFacebookなどの消費者向けWebサービスは、ユーザーのモバイルデバイスに、テキストメッセージ、またはAppleの場合は「iPhoneを探す」アプリの通知機能を介して、ワンタイムの一意のパスコードを送信します。このコードがないと、ログインできません。
CBS事件のハッカーたちは政治的な動機を持っているようで、「全世界が破滅する前にアメリカ国民は政府を止めなければならない」といったツイートをしたり、「シリア軍は全人類のために戦っている」と主張したり、ボストン爆破犯は米国政府の保護下にある専門家だと示唆したりしている。
最近の事件は孤立したものではない。
ここ数ヶ月、ハッカーはバーガーキング、ジープ、MTVのTwitterアカウントも乗っ取りました。しかし、あるシンプルな仕組みがハッカーの攻撃をはるかに困難にする可能性があります。それは、二要素認証です。
Twitter自体がユーザーに二要素認証を提供する取り組みを進めていると噂されていますが、現在CBSを悩ませているような事件は今後も発生するでしょう。なぜなら、ほんのわずかな摩擦でも、人々が追加のセキュリティ対策を講じるのを躊躇させるには十分だからです。
こう考えてみてください。複数のアカウントで同じパスワードを使い回してはいけないことは、誰もが知っている(あるいは知っているべき)ことです。さらに、これらのパスワードはすべて、長く、特殊文字を含み、完全にランダムである必要があります。そうしないと、悪意のある人物に推測されてしまいます。
472vY!5@0ndw33k3nd のようなパスワードが良い例かもしれません。もちろん、ユーザーにとって覚えにくいパスワードですし、パスワードを書き留めておくのは得策ではありません。紛失したり、悪意のある人物の手に渡ってしまう可能性があるからです。
LastPassなどのパスワードマネージャーを使えば、覚えるのが不可能なほど覚えやすいパスワードを数十個も保存してアカウントを安全に管理できますが、それでも手間がかかります。Mint、メール、銀行、Twitterなど、あらゆるサイトにログインするたびに、パスワードを入力するのに5秒余計にかかります。一見、無駄な時間ではないように思えるかもしれませんが、その5秒に1日でアクセスするアカウントが多数あるとしたら、現実には起こらないかもしれない幻の脅威のために、余計な手間をかけているように感じるかもしれません。
二要素認証も同様のものです。
Dropboxにログインしたいですか?理想的には、パスワードマネージャーから固有のパスワードを探し出し、スマートフォンを取り出して、テキストメッセージまたはアプリでコードが届くのを待ちます。データを安全に保ちたいなら、これは非常に賢明な方法です。
しかし、多くの人にとって、それはあまりにも手間がかかりすぎるため、CBS が関与しているようなアカウントがハッキングされるケースが今後も続くことになるでしょう。
少なくとも、二要素認証を使うのが面倒な人は、強力なパスワードを作成する方法を理解する必要があります。
そして、他のサイトで使用しているパスワードを使ってウェブサイトにログインするようなことは絶対にしないでください。これは、CBSのような企業の従業員が王国の鍵を手放す行為の一つです。
Twitter ハッキング事件を受けて強力なパスワードを作成する方法を確認してください。
パスワード作成に関するさらに詳しいヒントについては、「パスワード管理: 誰でもわかるヒント」をご覧ください。
