ウェブデザイナーは、安全性に関するアドバイスを絶えず受けます。私たちは、最も有効的な方法、セキュリティ上の落とし穴、およびそれらに必要な対処法について情報を得ているのです。目が回ってしまうほどの情報量です。
もちろん、これらは全て重要であり良心からきています。オンラインセキュリティは絶えず動き続ける的であり、最大のプレーヤーでさえ影響を受けることがあります。したがって、最新の開発についていくのは私たちの責任なのです。
二要素認証(2FA)は、オンラインアカウントを安全に保つための最も推奨されている技術の一つです。銀行業からソーシャルメディアまで、あらゆる場所で活用されています。そして、あなたのウェブサイトにも簡単にインストールすることができます。
2FAは、私たちのアカウントへの不正アクセスを阻止するのに効果的ですが、いくつか隠れた大きな欠点も持っています。最近の出来事で、私はこれを実際に体験しました。以下は、何が起こったのか、そしてそれが引き起こした混乱について説明しています。
プロバイダーによって異なるインストール方法―一つの共通した脅威
全てのテクノロジーと同様に、2要素認証はさまざまな方法で活用できます。ユーザーは、SMSメッセージ、電子メール、またはGoogle認証システムなどのアプリから認証コードを通じて認証することができます。また、ログインするたびに表示される写真を選択して、フィッシングサイトにアクセスしていないことを確認することもできます。
時にはあなたに選択肢をサービスプロバイダーもあります。しかし、多くの場合で彼らが提供する方法に頼るしか方法はありません。 2FAを使って保護するアカウントが多いほど、すべてがより複雑になっていくのです。
たとえば、多くの場所で携帯電話のSMSメッセージが使用されています。ですが、その場合もその認証アプリが必要です。しかし、他の人は別の見方をするかもしれません。ここでの課題は、誰がどのテクノロジーを使用しているか追跡し、適切なツールを用意することです。
しかし、その多くの方法には単一の共通点があります:動作するためにモバイルデバイスに依存しているということです。それは確かに便利ですが、そのデバイスに何かが起こった場合はどうなるでしょう?
故障した携帯電話は混乱を招きます
これは、私のAndroid携帯のモバイルデータ接続がうまくいかなかったときに経験したシチュエーションです。テキストメッセージは数時間遅れているか、まったく配信されていませんでした。同じ家に住んでいて同じネットワーク下にいた家族は、問題なくメッセージを受信していました。そのため、これはある種のハードウェア障害なのではと私は考えました。
このような状況下で多くの人がするように、私はいくつかの解決法を試しました。これには電話を初期設定にリセットするという恐ろしい“原爆オプション”も含まれていました。試してみる価値はあるでしょうか?
2つの問題が浮かび上がりました。まず、テキストメッセージの問題は修正されませんでした。さらに悪いことに、さまざまなアカウントからログアウトしてしまいました。Google、Facebook、Twitterなどすべてです。私のメンタルヘルスにとっては良いことかもしれませんが、仕事や遊びにはあまり良くないでしょう。
頑張って各アカウントにログインし直す作業は、簡単ではありませんでした。なぜでしょう?もちろん、二要素認証のおかげです。
Googleは特に難しくて、私に与えられた唯一のオプション2つともが携帯に結びついていました。自分にテキストメッセージを送りたかったのですが、上手くいくはずがありませんね。また、Google認証システムコードも許可されました。それが機能するなら素晴らしい話なのですが、コードにアクセスするには、Googleアカウントにログインする必要がありました。
この解決策は、最終的にデスクトップコンピュータを起動し、Googleの2FAを一時的にオフにすることでした(彼らはこの方法を本当に気に入らなかった様子でした)。そしてやっと、Gmailを取り戻しました。
これで終わりではなく、私はこれと似たプロセスをその他のアカウントでも繰り返さなければなりませんでした。皮肉にも、デスクトップから自分のオンラインバンキングにアクセスすることは、SMS認証に頼っているためできません。しかしできることは、その必要性がないSMS認証を自分の携帯電話に入れることです。考えるだけで冷や汗がでてきます。
もちろん、私の状況はユニークなものではありません。携帯デバイスにアクセスのある人ならだれでも同じ問題に悩まされる可能性あります。
学んだ教訓
2FA関連の悩みは教訓を学ぶ場でもあります。私たちのようなウェブサイトをつくる人間は、セキュリティ改善に成功すると自分を褒めたくなるものです―もちろんのことです。しかしこの技術をインストールすること自体でミッション完了なわけではありません。
代わりに、真剣な試行錯誤が必要です。以下に、二要素認証をあなたのウェブサイト追加する前に知っておきたいことをいくつかまとめました:
二要素認証は必需品でなくてもよい
ユーザーに要素認証を無理やり使わせたくなるのもわかります。そして特定の高リスク状況下ではやむを得ない場合もあります。
しかしほとんどのサイトでは、代わりの厳重なパスワードでとどまるべきです。例えば、あなたが秘密情報は含まないメンバーシップサイトを運営しているとすると、二要素認証は必要ないと思います。しかし、ユーザーに6か月に一回はパスワードを変えてもらうことが推奨されます。
ユーザーにとってもやることが減りますし、あなたにとっても少量のサポートになると願います。そして、アクセシビリティについても忘れないでください。一般的だからと言って、誰もが複数のデバイスを持っているわけではありません。
代概案を提供する
メンテナンスの視点から見ると難しいかもしれませんが、二要素認証以外の方法を提供できることには利点があります。ユーザーはベストな方法を選択することが可能だからです。また、彼らの携帯デバイスが使用不可能になった場合も、一瞬で使う方法を変えることができます。
簡単に言うと、人々が問題に出くわしたとき少なくとも簡単な解決法を提供できる、ということです。自分のアカウントにアクセスできなくて、さらに誰も助けてくれる人がいないのは、物凄く大変ですよね。
変化を予測する
できること全てをしてもユーザーがログイン問題に出くわすこともあります。例えば、二要素認証使用の中には一度限りのバックアップコードをくれるものもあります。これはあなたの選択した認証方法が上手くいかない時に役に立ちます。
しかし、全員がこのコードを保存または印刷するわけではありません(私はしませんでした)。ということは、避けられない問題のために準備をしておくことが大切です。
二要素認証は便利ですが、完璧とは程遠いのです
ここまで説明しきましたが、、二要素認証を好きになる理由はあります。適用するのも比較的簡単ですし、ユーザーデータを許可のないアクセスから守ります。そしてその方法には様々なタイプが存在します。
ただそこには欠点も存在します。私が経験したように、壊れた携帯は多くの問題を抱えます。あなたの最も大事なアカウントにログインできないということは、時にあなたの人生にストップをかけてしまいます。自分の銀行口座や携帯電話会社にアクセスできない状態を想像してみてください。
ですから、あなたのウェブサイトやアプリにも二要素認証を追加してみてください。しかし事前の計画を怠らず、ユーザーにとって使いやすいプロセスを整えましょう。より安全な環境は予測できても―奇跡を予測することはできませんから。
おすすめ新着記事
おすすめタグ