10 安全対策のために2FA(2段階認証)を使おうという話(Authy編)
取引所にログインするときに入力するパスワードが盗まれても、すぐにログインできないようにワンタイムパスワード(使い捨てパスワード)を第2のパスワードとして使う仕組みを「2段階認証」(2FA)といいます。
2段階認証は、仮想通貨取引所だけではなく、様々なサイトで広く使われている仕組みです。(日本でよく使われている、SMSでコードが送信されてくるあれや、銀行で発行している小さい電卓みたいな機械に表示される番号を入力するあれも、2段階認証の一種です。)
ワンタイムパスワードは、取引所などのサーバとあなたのスマホとで共通の数式を使い自動的に生成されます。数式は一つ一つ違いますので、同じサーバでもAさんのスマホとBさんのスマホで使われるワンタイムパスワードは別々です。
つまり、2段階認証を使えば、ログインパスワードとスマホの両方を同時に盗まれない限り、安易に他人にログインされることはありません。
2段階認証として広く使われているのがGoogleの「Authenticator」です(無料)。取引所の2段階認証設定でもGoogle Authenticator(面倒なので、「Google認証」といいます。)を使うことを前提としたような説明になっているので、なんの疑問もなく使っている人も多くいます。
しかし、Google認証にはバックアップを取れないという問題があります。このため、スマホを無くしてしまったときは、各取引所に連絡をして2段階認証を解除してもらわなければならないという恐ろしい事態が発生します。
そこで、Google認証と同じ機能をもち、かつバックアップが取れるAuthyをお勧めします(無料)。
Authyは、twilioという会社が提供しているアプリで、Authyサーバにバックアップを保管してくれます。
「じゃあ、その会社が自分のワンタイムパスワードを知ることができるのでは?」
と思った方。多分そのとおりです。しかし、第1パスワードを知っているのはあなただけなので、別に問題にはならないでしょう。第1パスワードをEdgeやFirefoxに記憶させている方がリスクが大きいです。「いや、やっぱり不安」という人は、Google認証を使いましょう。
Authyの使い方です。(私はすでに使用しているので、導入時は多少異なるところがあるかもしれません。悪しからず。画面はiOSです。)
- 公式サイト(Authy.com)からダウンロードします。(AppStore、Googleplay経由)
- 携帯電話番号を入れます。国別コード(+Code)は「(81)Japan」です(「j」と入れると出てきます)。携帯電話番号(Cellphone number)は、最初の「0」を入力しません(090なら90)。「-」もいりません。固定電話の番号を入れないようにしましょう。
- 「OK」をタップすると、認証方法の選択を求められます。「SMS」を選択します。
- AuthyからSMSが送られてくるので、その中にある確認コードを入力します。
- 右上の「Setting」をタップし、設定モードに入ります。下の「Accounts」をタッピングし、「Authenticator Backups」をオンにします。これで、Authyサーバにあなたのバックアップが保管されます。
- 設定モードの「MyAccount」から「Protect PIN」をタップします。「Protect PIN」をオンでAuthyアプリ起動時に4桁の暗証番号が必要になります(セキュリティレベルが高くなります)。また、「Touch ID」をオンにするとアプリ起動時に指紋認証が必要になります(iOSの場合)
- 2段階認証サービスを追加するときは、設定モードの「Accounts」の「+」をタップします。
- QRコード読み取りをタップし、追加しようとするサービスのQRコードを撮影します。「Enter key manually」をタップし、QRコードの下に表示されている文字列を手入力することもできます(あまり使わないと思いますが。)。
- もし、スマホの他にタブレットなどを持っている場合は、そちらにもインストールしておくと便利でしょう。Authyのデスクトップ版もありますが、置きっ放しで使うデスクトップパソコンにインストールするのは、個人的には「?」です。
- 各サイトの設定方法は、Guides - Authyに説明があります。取引所だけでなく、AmazonやGmailにも導入されています。できるだけ、2段階認証を設定しましょう。