FX業者

2FAとパスキーでアカウントを守ろう

2FAとパスキー
yuki
yuki
最近はパスワード漏えいやハッキングの事件が増えていますね
カオチャイ
カオチャイ
特に日本は世界から狙われていますので、この記事ではアカウントを守るための2FAとパスキーについて解説していきます

2FA(二要素認証)とは?

2FA こちらが2FAで代表的なGoogleのauthentication(認証)

 

2FA(Two-Factor Authentication)は、ユーザーが「知っているもの(パスワードなど)」と、「持っているもの(スマホやPC)」など、2つの異なる認証要素を組み合わせて本人確認を行う仕組みです。

利用する場合は通常以下の流れになります。

ユーザーがIDとパスワードを入力 → 第二の認証として、SMSや認証アプリ(Google Authenticatorなど)で送られるワンタイムコードや、メールに送られるリンクを入力。

 

2FAのメリット

セキュリティ向上:パスワード単体より安全性が高い。パスワードが漏洩しても、第二の要素がなければ不正アクセスが困難。

導入が容易:多くのサービスが標準で2FAを提供しており、特別なハードウェアが不要な場合が多い。

コストが低い:SMSやアプリベースの2FAは追加費用がかからないことが多い。

2FAのデメリット

手間が増える:コード入力やデバイス確認の手間が発生し、ログインに時間がかかる。

デバイス依存:スマートフォンやメールアドレスへのアクセスが必要で、紛失や通信環境の問題で利用できない場合がある。

フィッシングリスク:SMSやメールを使った2FAは、フィッシング攻撃でコードを盗まれる可能性がある。

yuki
yuki
フィッシングの手口は巧妙化しており、公式サイトの上にレイヤーを被せてパスを抜き取る方法なども存在するので見破るのは難しくなっています
カオチャイ
カオチャイ
2FAはGoogle authenticationなどは強力ですが、SMSやメールを使った2FAはフィッシング耐性が無いのでご注意ください

 

パスキーとは?

パスキー参照:Trend micro

 

パスキーは、FIDO2規格に基づく認証技術で、パスワードの代わりに公開鍵暗号方式を使用します。

非常に強力で使い勝手も良いのでとてもおすすめできる方法です。

FIDO2規格とは?

FIDO2規格は、FIDOアライアンスが策定したパスワードレス認証のオープン標準です。

WebAuthnとCTAP2の2つの主要コンポーネントで構成され、公開鍵暗号方式を用いて安全かつ簡便な認証を実現します。

WebAuthnはブラウザとサーバー間の通信を標準化し、CTAP2は外部認証デバイス(USBキーやスマートフォン)との連携を可能にします。ユーザーは生体認証(指紋・顔認証)やPINでデバイスをアンロックし、秘密鍵をデバイス内に安全に保管。

フィッシング耐性が高く、パスワード不要で高速ログインが可能。パスキーの基盤として、Apple、Google、Microsoftなどが採用し、普及が進んでいます。

 

パスキーの仕組み

ユーザーのデバイス(スマートフォンやPC)に秘密鍵が保存され、公開鍵はサービス側に登録。

ログイン時、デバイスが公開鍵暗号を利用して本人確認を行い、PINや生体認証(指紋・顔認証)でデバイスへのアクセスを保護。

クラウド同期(例:iCloud、Googleアカウント)により、複数のデバイス間でパスキーを共有可能。

秘密鍵と公開鍵とは?

秘密鍵:あなただけが持つ鍵で、他人に絶対漏らさない。スマホやPCの安全なストレージ(例:セキュアエンクレーブ)に保存され、デバイスがロックされている間はアクセス不可。

公開鍵:誰でも見られる鍵で、サイトやサービスに登録され、認証に利用。
この2つが連携し、パスキーなどの認証でパスワードを不要にします。

 

パスキーのメリット

高い利便性:パスワードを覚える必要がなく、生体認証や簡単なPINで高速ログイン可能。

強力なセキュリティ:公開鍵暗号はフィッシング耐性が高く、秘密鍵がサーバーに送信されないため漏洩リスクが低い。

デバイス間同期:クラウド同期により、デバイス紛失時でも他のデバイスで認証可能。

yuki
yuki
FX-EAラボの場合、対応しているサイトはすべてパスキーに移行しました

パスキーのデメリット

対応サービスの限界:パスキー対応サービスはまだ普及途上で、すべてのプラットフォームで利用できない。

初期設定の複雑さ:パスキーの設定やデバイス登録が、2FAよりやや煩雑に感じる場合がある。

デバイス依存:生体認証やPINがデバイスに依存し、デバイス紛失や故障時にバックアップ手段が必要。

カオチャイ
カオチャイ
以前は対応サイトが少なかったですが、現在ものすごい勢いで対応が進んでいるので、大きなサイトでしたらほぼパスキーが整備されるかと思われます

パスワード・2FA・パスキーの比較

パスワードは依然として多くのサービスの基盤ですが、単体ではフィッシングや漏洩リスクが高く、十分な保護が難しいです。フィッシングにかかるとどれだけ長いパスワードでも無意味で、使い回しも非常にリスクが高いです。

2FAは、パスワードに追加の防御層を加える手軽な方法として、すぐに導入可能で広く普及しており、パスワードの脆弱性を補う第一歩として最適です。

パスキーは、パスワードを不要にする次世代の認証方式として、セキュリティと利便性を両立。将来の主流になる可能性が高いですが、現時点では対応サービスの拡大が課題です。

 

ブラウザにパスを保存しておくのはおすすめできない

Chromeなどのブラウザにパスワードを記憶しておくのは、利便性が高い一方で以下のリスクがあります。

・デバイスが盗まれたり共有された場合、保存されたパスワードが不正アクセスされる可能性。

・ブラウザの脆弱性を突くマルウェアでパスワードが盗まれるリスク。

・同期機能でクラウドに保存される場合、クラウドアカウントが侵害されると全パスワードが危険に。

yuki
yuki
ブラウザにパスワードを保存するなら、1passwordのような有料サービスを利用するのが最も安全です

 

2FAとパスキーでアカウントを守ろう

yuki
yuki
日本は特に世界中のハッカーから狙われていますので、セキュリティ対策は急務でございますよ
カオチャイ
カオチャイ
弊社も姉妹サイトがハッキングにあったことがあり、復旧するためにサーバーを引っ越した経験があるので、セキュリティにはとても気を使っていますよ
ABOUT ME
YUKI
MT4をこよなく愛する開発者です。FX-EAラボの他に、サヤ取りを追求した株ラボ、MT4、MT5のツール制作に特化したシストレファクトリー、EAやインジケーターに認証やペイパル決済機能が付けられるMQLAuthシステムなどの開発にも関わっています。 YUKIプロフィール