2段階認証、まず1つだけ入れるなら何にする?
2段階認証、最初に入れる1つはどれがいいか。沖縄ホテル WiFi で Microsoft アカウントが乗っ取られかけた話と、詰まりやすい3パターン。20代・30代の最初の一歩。
旅行先のホテルやカフェで、フリー WiFi につないだことありません?
少し前、旅行先のホテル WiFi で普通にメール見てたら、いきなり Gmail に「Microsoft アカウントのパスワードが変更されました」って通知が届いた。 フェイクメールかと思ったけど、念のため公式ページから自分のアカウントを確認したら、本当に変更されてた。
完全に乗っ取られかけてたんだよね。
そこから「2段階認証(2FA)を入れておけば、最悪には至らない」って気づいて、慌てて入れ始めた。
で、今日は最初に入れる「1つ目」を何にするか、っていう話。 全部いきなりやらなくていい。1つから始めれば、そこから自然と連鎖する。
読み終わるまで5分。今日中に1つだけ入れるかどうかは、その後で決めてもらえれば。
2段階認証、入れた方がいいのは知ってる。でも
って人、結構多いんじゃないかな。
正直に言うと、自分も最初そうだった。「やった方がいい」って分かってても、何から始めるかが見えなくて、結局先延ばしにしてた。
きっかけは、さっきの沖縄ホテル WiFi 事件。
原因はたぶん、ホテルの WiFi にフェイクのアクセスポイントが紛れてたか、そもそも WiFi のセキュリティが弱かったか、どっちか。フリー WiFi って、想像以上に危ないんだよね。
でも、もし2段階認証を入れてたら、パスワードだけじゃログインできなかったから、そこで止まってた。
「やっておけば最悪は防げる」っていう、その感覚が一気に腑に落ちた瞬間だった。
1つ目に入れるべきは「メインのメール」
最初に入れる1つ目、答えは メインのメールアドレス。
Gmail でも、iCloud でも、Outlook でも、自分が今一番使ってるやつ。
理由はシンプルで、他のサービスのパスワード再発行通知が、全部そこに届くから。
つまり、メールが守れてないと、銀行のパスワードをいくら強くしても、SNS の 2FA をいくら入れても、根っこからひっくり返される。メールアドレス1つが乗っ取られると、そこから連鎖的に全部やられる。
逆に言うと、メールさえ守っておけば、他で何かあっても立て直せる。
自分の場合は、最初に入れたのは Microsoft だった(被害に遭った当事者だから)。でも、もし今ゼロから誰かに勧めるなら、間違いなく Gmail(or 自分が一番使ってるメール) から入れる。
2つ目以降は「お金周り」
メインメールに 2FA 入れたら、次にやるのは お金周り。
- メイン銀行
- 証券会社
- 主要なクレジットカード
自分も Microsoft の次は、お金周りから優先的にやり始めた。
理由は単純で、実害が一番大きい順だから。乗っ取られた時に消えるお金が一番大きい場所から守る。
ここまで(メール+お金周り)入れれば、最悪のケースはだいたい防げる。あとは余裕がある時に SNS とか、サブアカウントに広げていけばいい。
詰まりやすい3パターン
ここまでだと「じゃあ全員やればいいじゃん」って話なんだけど、自分が支援していた人を見てると、詰まるポイントが何個かあった。
① 複数デバイス持ちの人
タブレット + スマホ + パソコンとか、複数のデバイスで同じアカウントを使ってる人。
「家ではタブレット、外ではスマホ」みたいな運用してると、スマホが手元にない時にログインできなくなることがある。2段階認証のコードがスマホにしか届かないから。
→ 対策:Authenticator 型のアプリ(Google Authenticator や 1Password)を使う + バックアップコードを必ず紙にメモして保管。これなら別デバイスからも復元できる。
② 指紋認証を 2FA に使ってる人
指紋認証は便利なんだけど、状況によって読み取りづらくなる。
仕事柄、手をよく洗う人や、指先を酷使する人。あとは主婦さんとかも、家事で指の状態が変わる。指紋が安定して読まれなくなると、2FA そのものに入れなくなる。
→ 対策:指紋単独に頼らない。必ず予備手段(パスコード or バックアップコード)を残しておく。
③ 機種変で消えた人
これも結構ある。スマホを買い替えた時に、Authenticator アプリの 移行設定を忘れる。気づいたら「コードが届かない、ログインできない」状態。
→ 対策:機種変前に 必ずバックアップコードを紙でメモ + Authenticator アプリの移行手順を確認。1Password を使ってる人は、1Password 内に TOTP を保存しておくと、新しいスマホでもログインで復元できる。
3つとも、根っこは「スマホ1台に依存しすぎ」なんだよね。バックアップコードを紙で持っておく、これだけで大体の事故は防げる。
こういう人向け
ここまで読んでくれた人のうち、特に向いてるのは:
- フリー WiFi を使う機会がある人(旅行・カフェ・コワーキング etc.)
- メイン銀行や証券会社の口座を持ってる人
- そろそろやらなきゃと思いながら、先延ばしにしてる人
- 「もし乗っ取られたら」を一度も具体的に想像したことがない人
逆に、すでに主要サービスに 2FA 入れてる人は、第4記事「1Password と 2FA で守るベースライン」の方が次の手として役立つはず。
最初の一歩
長く書いたけど、今日できるのは2つだけ。
- Authenticator アプリをスマホにインストール(Google Authenticator か 1Password、どっちでもいい)
- メインのメールアドレスの 2段階認証を ON にする
これだけ。10分で終わる。
バックアップコードが表示されたら、必ず紙にメモして安全な場所に保管。スマホをなくした時の保険になる。
始めてから変わったこと
入れてから変わったのは、安心感はもちろんなんだけど、もう1つ具体的なやつがある。
「侵入されました」っていう通知が、来なくなった。
「侵入を試みました」は相変わらず届く。世界中のどこかから、毎日のように誰かが試してきてる。でもそれは、2FA で止まってる証拠でもある。
「試したけど、入れなかった」って通知だけが届く状態。これだけで、旅行先で WiFi 使う時の心理的なハードルがぐっと下がる。
ここから先の話
2FA を入れたあとの「次」を知りたくなったら:
→ 1Password と 2FA で守るベースライン ─ 数百人の事故から逆算した最初の2手
データを物理的に守る話(バックアップ):
→ 3-2-1 バックアップルール ─ 数百人の事故から逆算した最後の1手
そもそも、AI・投資・IT で何を削った先がこれなのか:
まとめ
2段階認証、まず1つだけ入れるなら メインのメール。 2つ目以降は お金周り。 詰まりやすい3パターンは バックアップコードを紙で持つだけで大体防げる。
それくらいの話。深く考えすぎなくていいよ。
この記事も疑ってもらっていい。Authenticator アプリの選択肢は今後変わるかもしれないし、サービスごとの仕様も変わる。
ただ、「乗っ取られた時に守られる仕組み」を1つでも入れておくか、入れないかの差は、たぶんこの先も変わらない。
