orangeitems’s diary

クラウド専任の40代インフラエンジニアが書くブログ。新規事業マネージャー。20世紀末の就職氷河期スタート時にIT業界に文系未経験で入りこみそのまま生き残った人。

電話やSMSの二段階認証には本当に気を付けよう

f:id:orangeitems:20220306084107j:plain

 

過去、複数回後悔したので、書いておく。

セキュリティーが厳しいサイトで、電話番号とひもづけて認証するサイトが増えている。パスワードだけだとサイバー攻撃に対して脆弱なので、音声電話をかけたり、SMSでコードを送ったり、またはパスコードを発行するモバイルアプリを使うサイトもある。このモバイルアプリも結局は電話番号とひもづけているので、つまりは電話番号を認証の重要なキーとして使う仕組みである。

そりゃ、スマートフォンの所持は、パスワードなんかよりも物理的なので合理的だと思うことはある。

ただ、うっかり電話番号が変わったり、無くなったりすることは、あるのだ。

例えばあるWebサービスを使っていて、ひもづけとして、チームのリーダーの電話番号を使っていた。そして長い事安定運用し、あまりサービス内容を変更することもなかったので、管理画面に入ることも無かった。電話番号のひもづけのことすら忘れていたぐらいだ。

ある日、このリーダーが事情でチームを抜けることになった。スマートフォンも不要になったので電話は会社に返したのだがこれがまずかった。体制変更で利用しているサービスの整理を進めていたら、ログインできない。このWebサービスはセキュリティーの強化のため、電話番号での認証を定期的に行うのだ。しかし電話はもう手元にない。

電話番号とひもづけているのに、電話がない。こういうときに認証を取り戻すのは各社大変だ。以前、Amazonで間違えてひもづけてしまったときは、解除するためにサポートに連絡し、いろいろな手間に巻き込まれ、結構な時間をかけて解除した。

 

2段階認証をリセットする

2段階認証に失敗し、アカウントにログインできない場合は、2段階認証のリセットを依頼することができます。

2段階認証をリセットするには、アカウント所有者のご本人確認のために、公的機関が発行した身分証明書のスキャンデータまたは写真のアップロードが必要です。セキュリティ上の理由により、本人確認が完了するまで2段階認証の設定を変更することはできません。アカウントにログインできる場合、ご自身でアカウント設定を変更できます。

2段階認証のリセットを開始する前に、登録済みのバックアップ方法または信頼できるデバイスからログインをお試しください。

それでもログインできない場合は、次のページから2段階認証をリセットしてください。

ここにアクセスします。

画面の指示に従って、身分証明書をアップロードします。 氏名、住所、発行機関(例: 都道府県、州または国など)が明記されていることを確認してください。 アカウント番号や個人番号などの機密情報は覆うか、隠すか、削除します。

ご本人確認の手続きが完了するまで、1~2日かかる可能性があります。2段階認証が無効になったことを確認するためのEメールが送信されます。パスワードのみでアカウントにログインできるようになります。

 

電話やSMSの二段階認証、便利なんだが電話番号の管理には本当に気を付けよう。

電話番号を変えたり、失ったりするときは、身の回りのサービスを今一度確認しよう。少なくとも一か月は古い電話番号は所持し、全てのサービスに入れることを確認した上で慎重に手放そう。

そもそも、ログインできなくなると、解約すらできない。使えないのに解約できないのでお金が無駄に取られる。それは嫌だから、ということで解約するのに無駄でめんどうなやりとりを行わなければならなくなる。しかも1つや2つならいいが、いろんなサービスを紐づけているとその都度やらなければいけない。

私はだから、電話認証は極力やめたいと思っている。何か変わるものはないかなと、本当に思う。