2FA(2段階認証)って何?

1行で答えると

2FA(ツーエフエー、2段階認証)は、ログインの時にパスワード以外にもう1つの確認をする仕組み のこと。

「家のドアを2重ロックする」のと同じ発想。

身近な例えで言うと

家のドアを思い浮かべてみる。

普通のドア → 鍵が1つ 入念な家のドア → 鍵が2つ(下の鍵 + 上のチェーン)

鍵を1個盗まれても、もう1個ロックがあれば中に入れない。

ネット上のアカウントも同じで、パスワード(1つ目の鍵)を盗まれても、2つ目の確認があれば乗っ取られない。これが 2FA。

3つの特徴(これだけ覚えておけば動ける)

① パスワードだけじゃ守れない時代になった

昔は 複雑なパスワードさえ作れば安全だった。でも今は違う。

大手サービスからパスワードが流出する事件が 年に何度も ある
1つのパスワードを使い回してると、他のサービスも全部やられる
フリー WiFi 経由で盗まれる事故もある

→ パスワードを 見られても、もう1つの壁 で止められる仕組みが必要になった。それが 2FA。

② スマホで 6桁コード(これが一番多い形式)

2FA の代表的な形式：

メールにコードが届く → 一番簡単・でも安全度はやや低い
SMS(電話番号)にコードが届く → 簡単・でも電話番号系の事故あり
Authenticator アプリで6桁コードを生成 → 一番おすすめ・安全度高い
指紋・顔認証 → 便利だけど読み取りエラーあり
物理キー(YubiKey など) → 最強だけどハードル高い

メイン口座やメールのような 大事なところは、3 の Authenticator アプリ式にしておくのが一番安心。

③ 乗っ取られても、その場で止められる

2FA を入れていれば、知らない場所からのログイン試行があっても、6桁コードを入力できないと中に入れない。

サービスによっては、「○○からログイン試行がありました」 とメールで通知が来る。これが届いた時点で、「自分は試してないのに通知が来た = パスワードがどこかから漏れてる」と気づける。

つまり 2FA は「侵入を防ぐ + 侵入の試みを察知する」の両方をやってくれる。

どこで使われているか

メインメール(Gmail・iCloud・Outlook):一番優先して入れるべき
銀行・証券会社・クレジットカード:お金が動く場所
SNS・クラウド(X・Instagram・Google Drive・iCloud):プライバシー守る
会社のシステム:ほぼ全部 2FA 必須化されつつある

「メインメール」から入れるのが基本。理由は、他のサービスのパスワード再発行通知が全部そこに届くから。

混同しやすい用語との違い

パスワードマネージャーとの違い

パスワードマネージャー = パスワードを安全に保管・自動入力する 道具。 2FA = パスワードに加えて、もう1段階の確認をする 仕組み。

両方を組み合わせるのが、最低限のセキュリティ構成。

→ パスワードマネージャーって何?

Authenticator アプリとの違い

Authenticator アプリ = 2FA を実現する道具のひとつ。

Google Authenticator や Microsoft Authenticator、1Password などがある。 6桁のコードを30秒ごとに生成する。

「2FA」 = 仕組み全体。「Authenticator」 = その仕組みを動かす道具の1つ。

TOTP との違い

TOTP(ティーオーティーピー) = Authenticator アプリで使われている コード生成の方式。正式には Time-based One-Time Password。

「30秒ごとに6桁のコードが変わる」のが TOTP の正体。

ユーザーは「TOTP」という名前を知らなくてもまったく問題ない。Authenticator アプリを使ってれば、自動的に TOTP を使ってる。

まとめ

2FA = ログインに2つ目の確認を加える仕組み。

パスワードだけじゃ守れない時代になった
スマホで 6桁コード(Authenticator)が一番おすすめ
乗っ取られても、その場で止められる

この3つだけ覚えておけば、最初に何を守るべきか見えてくる。

まずメインメール、次にお金周り、の順で入れていくのが王道です。

ここから先の話

「最初の1つは何にする?」の判断:

→ 2段階認証、まず1つだけ入れるなら何にする?

詳しい設計と数字の話:

→ 1Password と 2FA で守るベースライン ─ 数百人の事故から逆算した最初の2手

パスワード自体を守る道具: