「本当は、これをあなたに納得させる必要はないはずなのに…」のオフィスから:
Facebookの世界では、アカウントの不正利用を防ぐために二段階認証を設定するべきだと、いつも警告しています。すると、圧倒的多数の人から「それって何?」という反応が返ってきます。
反応する前に、古い顔認証システムに登録されている人のほとんどはIT業界出身ではないので、二要素認証について知る必要はあまりないということを思い出してください。問題は、二要素認証とは何かを理解しなければならないスタッフがいるということです(中には仕事で自分のデバイスを持参している人もいます) 。この対策の重要性をまだ十分に理解できていないのであれば、スタッフに伝えるべきポイントをいくつかご紹介します。最終的には、ユーザーに理解してもらえるようになることを願っています(これは個人データと会社のデータの両方をより安全に保つために大いに役立ちます)。
2要素認証とは何ですか?
エンドユーザーに、細部まで踏み込んだ説明をする必要はありません。なぜでしょうか?まず、エンドユーザーにとって二要素認証は馴染みのない言語だからです。二要素認証の仕組みを詳しく説明すると、エンドユーザーをうんざりさせ、興味を失わせてしまいます。そうではなく、二要素認証に関わる技術をあまり理解しようとしない、ITに詳しくない人に焦点を当てるべきです。この点を念頭に、この記事を読んでいる皆さんには、ITについて何も知らないと想像してみてください。そうすることで、エンドユーザーやスタッフをより効果的にサポートできるはずです。
覚えておいてください、あなたは IT について何も知りません。
さて、Facebookにログインしたいとしましょう。Facebookページにアクセスし、メールアドレスとアカウントに登録されているパスワードを入力します。両方正しく入力すれば、Facebookにログインできます。これですべて完了です。
しかし、他人がそのアカウントにログインするのを阻止できるものは何でしょうか?パスワードだけです。たとえ複雑なパスワードを設定したとしても、回避策は存在します。例えば、誰かがあなたのメールアドレスにアクセスできるとします。そのメールアドレスを使って新しいパスワードを要求し、あなたのアカウントにログインすることができます。メールアドレスにアクセスできない場合は、総当たり攻撃を試みたり、巧妙に細工されたメール(不正なURLへのリンクを記載したメール)であなたを騙してログインさせようとしたりする可能性があります。このメールには、ログイン情報にアクセスできるようにするための不正なURLへのリンクが含まれています。
ここで二要素認証が役立ちます。エンドユーザーに二要素認証の仕組みを説明する最適な方法は、次のようになります。
- アカウントにログインします
- ユーザー名とパスワードを入力します
- その後、携帯電話にパスコードが送信されます
- ログイン画面にパスコードを入力します
- アクセスが許可されています
パスコードがないと、アカウントにアクセスできません。携帯電話がないと、パスコードにアクセスできません。仕組みがお分かりですか?パスコードがなければアクセスできません。携帯電話がなければ、パスコードもアクセスできません。
ユーザーがアカウントにアクセスするために常にこれらの手順を踏まなければならないと考えている場合、特定のマシンを信頼できるマシンとして設定することで、2要素認証のパスコードを入力せずにアクセスできるようにできることをユーザーに改めて周知させることも非常に重要です。他のマシンでは、引き続きパスコードを入力する必要があります。
また、パスコードはテキストメッセージ、AuthyやGoogle Authenticatorなどのアプリ、あるいは(Facebookの場合は)スマートフォンのFacebookアプリ経由で送信される可能性があることをユーザーに周知する必要があります。パスコードは一度使用すると期限切れになるため、再度ログインするには別のパスコードを取得する必要があります。
これが二要素認証の要点です。もっと簡単に言うと、アカウントにログインするために必要な、一時的な二次パスワードのことです。
参照: セキュリティ意識向上とトレーニングポリシー(Tech Pro Research)
なぜこれが重要なのでしょうか?
スタッフやエンドユーザーの理解を得るのは少し難しくなります。教育とトレーニングが必要なユーザーを支援するためには、遠慮なく意見を述べることが重要です。重要なのは、ユーザーに、その努力は必ず報われると納得してもらうことです。
次のようなものは通常非常に効果的です:
毎日のように、Facebookでアカウントがハッキングされたという投稿を目にします。もし二段階認証を導入していれば、このような事態に陥る可能性は飛躍的に低かったでしょう。しかし、これはFacebookだけに限った話ではありません。銀行口座番号などの重要なデータを含むアカウントは、ハッキングされる可能性があります。Amazonアカウント、オンライン銀行口座、Googleアカウントなどは、ハッキングされると深刻な個人情報や金銭的な問題を引き起こす可能性のあるアカウントの例です。しかし、二段階認証を導入することで、これらはすべて回避できるのです。
確かにログインには余分な手順が必要ですが、その手間をかける価値は十分にあります。ほんの少しの手間をかけるだけで、アカウントのハッキングをかなり防ぐことができることを考えると、二段階認証を追加するのは当然のことです。大切なアカウントにさらなる保護レイヤーを追加し、しかも無料で利用できるということは、そのような保護の必要性を依然として否定する人たちにとって、全く理にかなったことです。
今では、アカウントをハッキングすることで実際に仕事を得る人がいる時代に生きています。なぜ、彼らにとってそれを簡単にするのでしょうか?
怠惰はもう選択肢ではない
相変わらず手加減なしですね。今回は、こういうことで少しばかり痛々しいほど明白な点を指摘せざるを得ませんね…
毎日のようにアカウントがハッキングされています。なぜ二段階認証を設定していないのかと周りの人に尋ねると、「難しすぎる」「時間がない」「安全だ」など、様々な答えが返ってきます。私はこう答えます。
- そうではありません。
- はい、そうです。
- いいえ、違います。
二段階認証を設定しない正当な言い訳は、全くありません。まあ、一つだけ言い訳はあるかもしれません。スマートフォンをお持ちでないなら、二段階認証を設定していない理由は理解できますが、それ以外に言い訳はありません。もし二段階認証を避け続けるのであれば、アカウントがハッキングされるかどうかではなく、いつハッキングされるかが問題であることを理解してください。
ハウツーリスト
エンドユーザーやスタッフのサポートを容易にするために、このトピックに関するTechRepublicのすべてのハウツー記事へのリンクを掲載します。これにより、2要素認証を簡単に有効化できるようになります。これらの情報の多くは、こちらのPDF「お気に入りのプラットフォームとサービスで2要素認証を設定する方法」にも掲載されています。
さあ…何を待っているのですか?アカウントを保護しましょう。
