「二段階認証」とは？

「二段階認証」は、単純にいうと、パスワードを入力したときに、「本当にご本人ですか？」と電話で確認する仕組みです。
もちろん、実際に電話で確認するのは大変なので、通常はSMSで確認コードを受け取ります。

「二段階認証（two-step-verification）」は、パスワードを入力した後に、さらにSMSで受け取った確認コードの入力などでセキュリティを強化する仕組みです。

二段階認証では、
・パスワード
・確認コード
の２つセットで本人確認をします。

あらかじめ二段階認証を設定するときに、自分の電話番号を登録しておきます。

そうすると新しい端末でサインインするときに、パスワードを入力すると、6桁程度の確認番号が送られてくるようになります。
これを、サインインする端末でも入力しないと先に進めません。

二段階認証を有効にすると、仮にほかの人にパスワードを破られてしまっても、不正アクセスされることを防げます。

「二段階認証」と「二要素認証」の微妙な違いについて

「二段階認証」と「二要素認証」は、本来の意味が少し違います。しかし、私たちが使う時はほとんど同じと考えても構いません。というのも、私たちが普段「二段階認証」と呼んでいるものは、多くの場合、正確には「二要素認証」のことを指しているからです。

1. 二段階認証でも完璧ではない

ところが、SMSの二段階認証でも、突破された事例のニュースがありました。

「SMSのメッセージを、別の電話番号のスマホに紐付ける」サービスを悪用すると、SMSを傍受できてしまったそうです。

携帯電話やスマートフォンの電話番号を利用してテキストメッセージを送受信できるショートメッセージサービス(SMS)は、友人などと連絡する際に使うことができるだけでなく、ネットサービスやアプリの多要素認証にも使用されます。ところが、ハッキングやプライバシー問題を手がけるジャーナリストのJoseph Cox氏が、「たったの月額16ドル(約1700円)のサービスを利用したハッカーにSMSが乗っ取られてしまった」と報告しています。
ハッカーがたったの月額1700円で他人のSMSを乗っ取りWhatsAppなどのアカウントを侵害した方法とは？ – GIGAZINE（2021年03月16日）

だからといって、過度に心配する必要はありません。
こういった「仕組みの盲点」（脆弱性）が見つかると、よりサービス開始時の本人確認などが厳重になって、改善していきます。

「SIMハイジャック」とは？

「SIMスワップ」は、犯罪者が携帯会社をだまして、あなたのSIMを不正に入手する詐欺です。携帯電話番号を乗っ取られると、あなたのふりをしてオンラインサービスに不正アクセスされてしまいます。

目次に戻る

2. それでも二段階認証は不正アクセスを防ぐ【追記：2022年2月15日】

二段階認証は「完璧」ではありませんが、それでもかなり有効です。
その有効性を裏付けるデータもあります。

Googleアカウントは、2021年から二段階認証を標準に変更し、その結果不正アクセスが50%減少したそうです。

昨年、二段階認証をユーザーオプションではなくデフォで設定するよう仕様変更したGoogle（グーグル）。変更発表から、1億5000万Googleアカウントに二段階認証を自動適用、YouTubeでは200万を超えるアカウントに二段階認証を義務付けました。結果、二段階認証を利用しているユーザーは、パスワード保護のみのユーザーと比べ、アカウントハックが50％減少したことが明らかになりました。
二段階認証大事。アカウントハックが50％減とGoogleの報告 | ギズモード・ジャパン（2022.02.14）

こちらもどうぞ。