BetaNewsはこのほど、「It is time to move away from text-based two-factor authentication methods」において、テキストベースの二要素認証(2FA: Two-Factor Authentication)から認証アプリを利用した二要素認証の利用に切り替えることを提言した。認証アプリによる二要素認証は初期導入に少し手間がかかるが、セキュリティを向上させるだけの価値は十分にあると紹介している。

It is time to move away from text-based two-factor authentication methods

二要素認証は、サイバー犯罪者の不正アクセスからアカウントを保護することができる強固なセキュリティ機能の一つとされている。二要素認証を有効にしたとしても完全にセキュアになるとはいえないが、ブルートフォースアタックなどさまざまな形態のサイバー攻撃からアカウントを保護できるようになるとされている。

二要素認証はアカウントに必要なパスワードに加え、その場で生成される2つ目の認証コード(ワンタイムパスワード)を利用することでセキュリティを強化する。一般的な方法としてユーザーのデバイス上で動作する認証アプリでの生成、テキストメッセージや電子メールで送信されるコードなどがある。

Betanewsはテキストメッセージや電子メールで送信されるテキストベースのコードによる二要素認証を使うのではなく、ユーザーデバイス上で動作する認証アプリで生成されるコードによる二要素認証を使うよう推奨している。テキストメッセージや電子メールの二要素認証コードは暗号化されていない可能性があるため、コードが傍受されてしまう危険性があるという。公共ネットワークに接続されている状態でのテキストベースの二要素認証の利用はさらに危険とされ、攻撃者の格好のターゲットとなってしまう可能性があると指摘している。

認証アプリによる二要素認証コードはネットワークを経由することなくデバイス上で生成されたコードを使用するため、テキストベースの二要素認証コードより安全と説明している。Authy、Google Authenticator、Microsoft Authenticator、Aegis Authenticatorなどの一般的な認証アプリが紹介されており、これらの認証アプリを活用してさまざまなアカウントを脅威者から守ることが望まれている。