二段階認証アイキャッチ画像

仮想通貨でも採用されている二段階認証とは?

株式会社セブン・イレブン・ジャパン独自のバーコード決済サービス「7pay(セブンペイ)」の不正アクセス発覚からわずか1ヶ月後の2019年8月1日、「7day」のサービスを9月30日付けで廃止することを発表しました。サービス開始からわずか3ヶ月での打ち切り……。トラブルの原因の1つに、「二段階認証」を採用していなかった背景があります。この「二段階認証」とはいったいどのようなものでしょうか?

二段階認証とは?

二段階認証画像2

Webサイトにログインする際、メールアドレスやパスワードによる一度きりの認証ではなく、何らかの方法で2度の認証を行うセキュリティシステムのことです。この何らかの方法は、「認証コード」によるものが多いですが、現在では「生体認証」も取り入れられています。こうったその人にしかない証となるものを加えることで、従来の「一段階認証」よりセキュリティを強化にし、不正ログインを防ぐことができるため、仮想通貨取引所でも採用され、資産を守るための安全対策として急速に普及しています。

二段階認証の主な流れ

二段階認証のしくみ

二段階認証の設定に必要なものは「スマホ」と「パソコン」です。

    1. パソコンのログインサイト画面でメールアドレスとパスワードを入力 → 一段階目の認証
    2. スマホのショートメール(SMS)に認証コード(ワンタイムパスワード※1)が送られてくる
    3. 送られてきた認証コード(ワンタイムパスワード)を入力 → 二段階目の認証

※1 一定期間ごとに生成されて一度しか使用できないパスワードのこと。スマホのSMSで送られてくるケースが多い

注意:二段階認証は、同じ端末やブラウザで一度、認証すると、「二段階認証」されたものとみなすので、2度目以降は認証をする必要はありません。ですが、別の端末やブラウザからログインすると、別のものとしてみなされるため、「二段階認証」が必要になります。

二要素認証(多要素認証)

生体認証画像

二段階認証」と似ている認証システムに「二要素認証(多要素認証)」があります。この2つには違いがあります。

最初に認証する方法を以下の3つに分けます。

  • 知識認証(本人だけが知っている要素)→電話番号、メールアドレス、パスワード、PINコードなど
  • 所有物認証(本人が持っている要素)→ワンタイムカード、SMS、ICカード、キャッシュカードなど
  • 生体認証(本人だけがもつ身体的特徴)→顔、指紋、静脈、色彩、声門など

「知識認証」+「所有物認証」、あるいは「知識認証」+「生体認証」など、従来のパスワートやアドレスだけでなく、自分にしかないものを組み合わせて一回で行なうのが「二要素認証(多要素認証)」です。例:ATMでお金をおろす際、キャッシュカードとパスワードなど

つまり、

二要素認証(多要素認証)」は……異なる要素の認証を複数組み合わせて、一度に行う認証システム
二段階認証」は……違う方法、あるいは同じ方法で認証を2回に分けて行うシステム

いずれにしても、「二要素認証(多要素認証)」、そして「二段階認証」には、認証するための要素を増やしたり、認証回数を増やすことで従来の“パスワードだけ”といった「一段階認証」のもろさを軽減し、安全なセキュリティを確保することができるようになっています。

また、多要素認証は英語で、MFA(Multi-Factor Authentication)と呼ばれます。これを採用しているアプリがあります。次に説明する「Google Authenticator」です。

二段階認証アプリ、Google Authenticator(グーグルオーセンティケーター)

Google Authenticator2

基本情報

日本語対応 対応
スマホ対応 AppStore、GooglePlay
PC対応 未対応
バックアップ機能 未対応
開発社 Google.inc

Google Authenticator(グーグルオーセンティケーター)の特徴

ネットが要らない

Google Authenticatorはネット回線が必要ないので、そのまま「二段階認証」が行えます。またWi-Fiが必要な端末でもアプリをインストールしておけば、同様に行えます。

海外利用が可能

Google Authenticatorは世界中で利用でき、日本語対応のまま二段階認証が可能です。

PC対応にするには…

Google Authenticatorはそのままではパソコンでの使用ができませんが、認証ソフト「WinAuth」を使えば、Windowsで使うことができます。

凡用性の高いアプリ

Google Authenticatorは有名なネットサービス機関でも利用されています。

  • グーグルアカウント
  • アマゾン
  • ツイッター
  • フェイスブック
  • インスタグラム
  • 仮想通貨取引所(コインチェック、GMOコイン、DMM Bitcoinなど)

その他認証アプリ

「Authy」
Authy

「IIJ Smart Key」
IIJ Smart Key

2段階認証の設定方法

    1. 最初にGoogle Authenticatorのアプリをダウンロードします。
    2. アプリを起動すると、最初に下記のような画面が出ます。一番下の「Begin」をクリックします。

Google Authenticator1

    1. ユーザーネームとパスワードを入力します。

Google Authenticator23

    1. 認証コードの生成をします。2つ方法があります。「バーコードをスキャンする」か「キーを入力」のどちらかを選びます。

Google Authenticator3

    1. 認証コード(6桁)が表示されます。右下の時計マークはコードの有効期限を示しています。

Google Authenticator4

Coincheck

次にコインチェックを例に設定方法を見ていきます。

      1. コインチェックサイトを開き、右上の「設定」から「二段階認証」を選んでください。すると二段階認証の設定画面にうつります。
      2. 左下の「設定する」をクリックします(ここでQRコードの下に16桁のシークレットキーがでます。注意参照)
      3. 先ほどスマホにダウンロードしたGoogle Authenticatorを開き、QRコードを読み取ります。
      4. 生成された6桁の数字をパソコンに入力し、「設定済みです」」となれば、二段階認証の設定は完了です。

注意: 設定する前に16桁のシークレットキーを保存しましょう。スマホの紛失や機種変更の際に必要なものです。ハードにデータ保存するか、紙にメモして大切に保管しておきましょう。

動画でも確認することができます。
https://youtu.be/k6Mf26Mkv9A

二段階認証のコードがわからなくなってしまったら?

仮想取引所に問い合わせして、二段階認証を解除してもらいます。ですが、対応不可の取引所もあります。特に海外取引所は英語の説明のため、やりとりに時間がかかったり、思わぬ結果にならないとも限りません。事前に二段階認証をバックアップしておくことをおすすめします。

バックアップ方法

バックアップ画像

スマホを故障、あるいは紛失機種変更をした場合に備えて、二段階認証のバックアップをしておきます。

      • QRコードを別のスマホに保存しておく
      • 16桁のシークレットキーを保管しておく
      • 複数の端末で同じQRコードを読み取っておく

16桁画像

保管方法としてはスクリーンショットにしてUSBにデーター保存する、または紙に印刷しておく方法があります。
注意:複数の端末に読み込むときは、必ず同じQRコードにしてください。二段階認証は最初のQRコードを読み込んだ端末でしか使用できません。

まとめ

ハードウォレット画像

二段階認証は、取引所がユーザーからの資産を安全に保管するための重要なセキュリティシステムです。ですが、取引所はその名の通り、あくまでも「取引」をするところです。万全なる資産の保管を希望する人は、自分専用の「ウォレット」に保管しましょう。

関連記事一覧