EvernoteとLinkedIn、2段階認証に対応

別の日には、また別のオンラインサービスが2段階認証に対応します。今回、その機能が利用できるようになったのはEvernoteでした。Evernoteはクラウドベースのメモサービスで、3月には2回にわたりハッキング被害を受け、情報漏えい、および指令サーバーとしての使用を許しています。

2段階認証は大変な流行のようで、Evernoteを話題にした本稿の執筆中に、LinkedInも独自の2段階認証を実装しました。それについてもここで触れたいと思います。

残念ながら、2段階認証は現時点では少し古い話題です。Gmailは2段階認証を2010年9月に実装しています。Threatpostではほぼ4年前、セキュリティ専門家によって多段階ログインのコンセプトが歓迎された際に、2段階認証についての記事を投稿しています。今でも、できるだけ2段階認証を使用して慎重に扱うべきアカウントを保護する必要がありますが、この機能は、アカウント乗っ取りの解決策というよりも、ハッカーに対する新たな障壁として受け止められています。

ただし、AppleやTwitterによる2段階認証ログイン機能の非常に遅まきながらの実装が、2段階認証への新規対応が続くこの第2の波を促進した可能性もあります。これは好ましい状況です。2段階認証オプションを提供しない理由はどこにもありません。

Evernoteは有料のプレミアムユーザーを先に、次いでその他のユーザーに段階的に認証機能を実装することになっているため、その計画が注目を浴びています。しかしそれ以外は、LinkedInとEvernoteの2段階認証システムは、銀行やGoogleが約3年前に実装したシステムとほとんど変わりがありません。機能を有効にすると、ユーザーはログイン時に（ログインIDとパスワードの組み合わせに加えて）2つ目の認証コードの入力を求められます。ほとんどの場合、これらのシステムはコードの送信をSMS、あるいはGoogle AuthenticatorのようなコードジェネレーターやFacebookのモバイルアプリに搭載されたコードジェネレーターなどに頼っています。

あいにく、ハッカーは以前からSMS経由の暗証番号を回避しています。中でも有名なのは、モバイルデバイスへの中間者攻撃です。

ほとんどの人気オンラインサービスにおいて、2段階認証は現時点でできる最善の策ではあるものの、今この瞬間にも、パスワード書き換えの深刻な争いが起きていて、Googleから米国防省まで、誰もがその争いに巻き込まれています。電子メールアカウントへのサインインで、タトゥーや錠剤を認証に使用するようになるのも時間の問題かもしれません。

当面は、オンラインアカウントを危険にさらしたくなければ、ユーザーは2段階認証を実行する必要があります。2段階認証と強力なパスワードによって、攻撃者の格好の餌食となることはないと考えていいでしょう。これらは、大衆の趣味につけこむことを好むサイバー犯罪者を抑止する、確かな手段となります。