Security

Amazon.co.jp の2段階認証で、スマートフォンを紛失した場合に備える

投稿日:2017年2月20日 更新日:

1. はじめに

Amazon.co.jp で 2段階認証が使えるようになりました(Amazon.com では以前から使えたようです)。

※ Amazonでは「二段階認証」のことを「2段階認証」と表記します。また、2段階認証でログインするときに使用する文字列のことを「セキュリティコード」と呼びます。

設定方法の詳細については、いろいろな記事で説明されているのでここでは省略しますが、大きく分けると以下の設定を行います。

  1. 第一手段
  2. バックアップ手段
  3. コードが要求されない端末(任意)

第一手段とバックアップ手段としては、以下の方法を設定することができます。

  1. テキストメッセージ(SMS)
  2. 音声電話
  3. 認証アプリ

ということなのですが、気になるのは、「設定に使用したスマートフォンが紛失した場合に、問題なくログインできるか?」です。

2. バックアップコードの機能がない

Amazon以外で二段階認証を提供している大手サービスの場合、たいていは「バックアップコード」という文字列を発行することができます。スマートフォンが紛失したときには、このバックアップコードを入力することによってログインすることができるのです(この機能を使うか使わないかは任意です)。もちろん、このメモが他人に漏れてしまうと危険です。しかし、スマートフォンに何か問題が起きた場合でも確実にログインできるという安心感はあります

そして、今回の Amazon 2段階認証ですが、この「バックアップコード」の仕組みが用意されていないようです。ほとんどのユーザーはスマートフォンを 1台しか持っていないと思われるので、「テキストメッセージ(SMS)」、「音声電話」、「認証アプリ」を設定するのは全て同じスマートフォンになります。ですので、もしこのスマートフォンを紛失してしまうとログインできなくなってしまいます。「バックアップ手段」といっても、「第一手段」と同じスマートフォンで設定するなら「バックアップ」という意味はかなり薄れます。

3. スマートフォン紛失時のログイン手段として「コードが要求されない端末」を利用する

Amazonの2段階認証に用意されたもう一つの機能として「コードが要求されない端末」を登録することができます。この機能は大手サービスの二段階認証でもだいたい用意されているので、知っている人も多いでしょう。特定のパソコンやスマートフォンなどの端末でセキュリティコードの入力なしでログインできるようになる機能です。普段使う端末でセキュリティコードを入力する手間が省け、また、スマートフォンが紛失した場合のログイン手段にもなります。

ただし、普段使うスマートフォン以外に端末を持っていない人はこの手段が使えません。もし、私がスマートフォンを1台しかを持っておらずPCを持っていないのであれば、Amazonの2段階認証は怖くて使えません。スマートフォンを紛失したら、Amazonにログインできなくなってしまうからです。

4. 現時点でのまとめ

スマートフォンを紛失しても確実にログインできるようにするため、以下に気を付けるとよいでしょう。

  • もし持っているなら、普段使うスマートフォン以外の端末でも「テキストメッセージ(SMS)」「音声電話」「認証アプリ」のどれかを設定する。
    • Windowsパソコンなら、WinAuth という認証アプリが使えます。
  • 普段使うスマートフォンとは別の端末を「コードが要求されない端末」として登録する。
  • かといって、あまりたくさんの端末を設定するとセキュリティレベルは低下するので、そこはバランスを考える。

個人的には、他社の二段階認証機能と同様に「バックアップコード」を用意して欲しいと思います。

📂-Security

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

パス名パラメータの未チェック/ディレクトリ・トラバーサル by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「パス名パラメータの未チェック/ディレクトリ・トラバーサル」から一部抜粋する。(この資料はPDFでしか提供されていない) …

no image

ウェブサイトの完全 SSL/TLS 化が進んでいる

参考 Google、Chromeで半数以上がHTTPSを利用と発表 | マイナビニュース 2016/11/09 Chrome は Google にどこまでの情報を送っているのでしょうか? そこも気にな …

Web Security

CSP (Contents Security Policy) の記述例

目次記述例メモその他のメモ参考 記述例 デフォルト設定の記述をする(HTTPレスポンスヘッダの出力)。 同一オリジンも含めて全てのソース1からの読み込みを禁止する場合 Content-Security …

no image

メールヘッダ・インジェクション by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構、「メールヘッダ・インジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要なウェブサイト …

no image

クリックジャッキング by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「クリックジャッキング」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要なウェブサイトの特徴根本的解決 …