二段階認証の保護が、ある状況では自らを締め出す鍵に変わる
二段階認証は、アカウントの安全性を大幅に向上させることに疑いはありません。しかし、この設計は、ログイン時にあなたしか取得できない認証情報を提供する必要があります。通常は携帯電話の認証コードまたは認証アプリが生成する動的コードです。 この設計には隠れた脆弱性があります。 唯一の認証手段に問題が発生すると、例えば、携帯電話を紛失したり、認証アプリがバックアップされていなかったり、SIMカードが無効になったり、携帯電話自体が故障したりすると、アカウントにアクセスする道が同時に消えてしまいます。こうした状況では、二段階認証の安全設計があなたをアカウントの外に締め出すメカニズムになってしまいます。 バックアップコードは、この状況に対処するために存在します。これは、アカウント設定時に生成される一回限りのコードのセットであり、他のすべての認証方法が使用できないときに、最後のログイン証明書として機能します。
バックアップコードの使用方法
ほとんどのプラットフォームでは、二段階認証を有効にすると、一回限りの利用可能なコードのセットが提供されます。通常、これは8から10の組のコードで、それぞれのコードは一度だけ使用でき、使用後は無効になります。 主要な認証方法が使用できない場合は、ログインページで他の認証方法またはバックアップコードを選択し、その中の一つを入力すると、認証が完了し、アカウントにアクセスできます。アカウントにアクセスしたら、すぐに二段階認証の設定を確認し、利用可能な主要な認証手段を再設定し、使用済みの古いコードを置き換える新しいバックアップコードを生成する必要があります。
各プラットフォームのバックアップコード取得方法
Google myaccount.google.comにアクセスし、「セキュリティ」を選択して、二段階認証の設定セクションを見つけます。下にスクロールすると、バックアップコードのオプションが表示され、「コードを表示」または「コードを生成」を選択できます。 Instagram 設定に入って「アカウント」を選択し、その後「二段階認証」を選択します。バックアップコードのオプションを見つけ、Instagramは8桁のバックアップコードを5セット提供します。 Facebook 設定に入り、「セキュリティとログイン」を選択し、二段階認証設定を見つけ、その中にバックアップコードのオプションがあります。 Telegram Telegramの二段階認証設定には、従来のバックアップコードは提供されていませんが、バックアップ用のメールアドレスを設定することで、二段階認証パスワードを忘れた際にリセットに利用できます。 Apple ID Apple IDのアカウント回復キー機能はバックアップコードの概念に類似していますが、これを有効にするとAppleは他の回復支援を停止します。使用前にその設計ロジックを十分に理解しておく必要があります。
バックアップコードの最も重要な問題:どこに保存するか
バックアップコードの保存方法は、二つの条件を同時に満たす必要があります。必要なときにアクセスできること、そしてアカウントと同じ場所に保存すべきではないということです。 バックアップコードを携帯電話のアルバムにスクリーンショットとして保存することは最も一般的な方法ですが、明らかな問題が一つあります。携帯電話を紛失または故障した場合、バックアップコードも同様に取得できなくなるため、ちょうどその必要なときに役立たないことになります。 バックアップコードを自分のアカウントで使用しているクラウドサービスに保存することも同様です。例えばGoogleバックアップコードをGoogle Driveに保存した場合、アカウントにログインできない状況では同様に利用できません。 比較的信頼できる保存方法は次の通りです:
- 印刷して、物理的な安全な場所に保存する(例:自宅の特定の書類保管場所)
- パスワードマネージャーに保存する、パスワードマネージャーは保護されたアカウントとは独立している
- あなたが同様にアクセスできる別の信頼できるアカウントに保存する(例:別のメールアカウント)
完璧な保存方法は存在しませんが、どんな方法でも何も保存しないよりは良いでしょう。
バックアップコードに関してユーザーがよく疑問に思ういくつかの質問
バックアップコードを他の人が見たらどうなる?すぐに再生成する必要がある?
バックアップコードは本質的にアカウントにログインするための証拠の集合です。誰かがあなたのバックアップコードを取得し、あなたのアカウントに関連するメールアドレスとパスワードを知っていれば、ログインができてしまい、二段階認証はこの場合保護を提供しません。 もしバックアップコードが他の人に見られた可能性があると思ったら、最も直接的な対処法はすぐにアカウントにログインし、二段階認証設定に進んで、現在のバックアップコードをキャンセルし、新しいコードを生成して古いコードを無効にすることです。バックアップコードの安全性は、それを保存している場所の保護レベルと直接関係しています。アカウントのパスワードと同等の重要性を持つ証明書として扱うべきです。
バックアップコードが使い切った場合、その他の方法でアカウントにアクセスするには?
バックアップコードを使い切った場合は、プラットフォームの正式なアカウント回復手順を通じて行う必要があります。この手順は通常、アカウントの所有権を確認する必要があり、バックアップメール、信頼できるデバイス、または身分証明書を提出することで行います。 回復手順の実行可能性は、アカウント設定時に入力した回復情報が現在も使用可能か、どれだけアカウント所有を証明できる情報を提供できるかに依存します。これが定期的にアカウントの回復情報が有効であるかを確認することとバックアップコードの保存が同じくらい重要な理由です。これらは相補的な安全メカニズムであり、代替関係ではありません。
パスワードマネージャーにバックアップコードを保存できるか?それは安全なのか?
できます。それは現在、セキュリティコミュニティで広く受け入れられている手法の一つです。パスワードマネージャーは通常、安全なメモや文書を保存する機能を提供しており、バックアップコードのテキストコンテンツを保存するために利用できます。この方法の前提は、パスワードマネージャー自体が強力な主パスワード保護を持っており、アカウントそのものが良好な安全状態であることです。 注意すべき境界ケースは、パスワードマネージャーのアカウントも二段階認証を使用している場合です。この場合、認証方法の両方が同時に無効になる可能性があり、その結果としてサイクルに陥る恐れがあります。パスワードマネージャーは他のアカウントの認証方法に依存せず、独立した主パスワードを持つことをお勧めします。これにより、他のアカウントの緊急時に独立した回復リソースとして機能できます。
重要なポイント: バックアップコードは、二段階認証設計において最も見落とされがちな部分です。ほとんどの人は二段階認証を有効にした後、それを保存したことがありませんが、バックアップコードの存在意義は、他のすべての方法が失敗したときに役立つためです。