レビュー
Twitterで「SMS認証」終了、「認証アプリ」を使った2要素認証はどう設定したらいい? その方法をチェック
2023年4月14日 00:02
Twitterは、アカウントを保護するための2要素認証について、無料ユーザー向けのSMS認証の提供を終了した。有料会員「Twitter Blue」では引き続き提供される。
一般ユーザー向けには、認証アプリやセキュリティキー方式を引き続き提供するとしている。今回は、認証アプリによる2要素認証の設定方法を紹介する。
2要素認証とは
2要素認証とは、認証時に複数の要素を使って認証することで、セキュリティ向上を図る認証方法。たとえば、ユーザー名とパスワードに加えて本人しか知り得ない情報を認証要素に加えることで、パスワードが流出したり推測されたりしても、本人のログインである確実性を高めることができる。
2要素目は従来「はじめて行った海外の国は?」や「母親の旧姓は?」といったものや、ネットバンキングの「認証番号カードの番号表」といった固定のものだったが、近年では電子メールやSMSで短時間のみ有効となる「ワンタイムパスワード」など、流出しにくい認証要素をとっているサービスが多い。
Twitterでも、ユーザーの電話番号あてにSMSでワンタイムパスワードを送ることで、「ユーザーが持っている端末のみ確認できる」情報で認証でき、本人によるログインである確実性を高めている。
認証アプリによる2要素認証
認証アプリによる2要素認証では、Twitterと一意の秘密鍵を使って本人と確認する仕組みをとっている。
この秘密鍵は、Twitterと認証アプリの紐付け時に発行されるため、ほかのスマートフォンや違うアカウントで発行される認証コードでは、秘密鍵が違うので認証されない。
このため、Twitterにログインする際は、「連携させたスマートフォンやiPhone」が手元にないとログインすることができなくなる。第三者がログインしようとした際、「連携させたスマートフォンやiPhone」(2つめの要素)が手元にないので、不正なログインができなくなるようになっている。
逆に、この「連携させたスマートフォンやiPhone」が手元にないと、たとえ本人であってもログインすることができなくなる。機種変更する際やアプリを削除する際は、その前に新しい端末/アプリと連携させたり2要素認証設定をオフにしておかないと、今後の認証が難しくなるため、注意されたい。
なお、「Google Authenticator」では、QRコードで別のデバイスへ設定を引き継げるようになっているほか、「Microsoft Authenticator」では、マイクロソフトのアカウントやiCloudアカウントを設定しておけば、復元できるようになっている。
設定方法をチェック
ここでは、Android版Twitterアプリから、認証アプリ「Google Authenticator」と「Microsoft Authenticator」を使った設定方法をご紹介する。なお、認証アプリは1つだけ設定すればよい。
Androidでは、Twitterアプリと対応する認証アプリが同じスマートフォンにダウンロードしていれば、スマートフォンだけで設定できる。一部のiPhoneやスマートフォンでは、スマートフォンだけで設定できず、QRコードを利用して設定するため、パソコンとスマートフォンまたは2台のスマートフォンが必要となる。
Android版Twitterアプリを開いて、左ペインのメニューから「設定とサポート」→「設定とプライバシー」を選択する。設定メニューから「セキュリティとアカウントアクセス」から「セキュリティ」に進むと、2要素認証のメニューが登場する。「2要素認証」の項目(下の小さい文字のもの)をタップし、上から2つめの「認証アプリ」をタップすると、2要素認証の設定画面に進める。
「はじめる」をタップすると、スマートフォンにダウンロードされている認証アプリと連携する場合と、別の端末のアプリと連携するかで分かれる。同じスマートフォンなら上の「Link app」をタップする。違う端末の場合は、「別の端末でリンク」をタップし、表示されたQRコードを認証アプリに読ませて連携させる。
「Link app」をタップすると、認証アプリの一覧が表示される。表示されない場合、対応の認証アプリがダウンロードされていないか、スマートフォンが対応していない可能性がある。その場合は、別のアプリをダウンロードするか、QRコードから連携を試してみよう。
「Google Authenticator」(1つめの「認証システム」)では、開くと「キーを保存」のダイアログが表示されるので「OK」をタップ。すると、秘密鍵が共有されアカウントを追加できる。
次回以降、Twitterから認証を求められた際は、「Google Authenticator」を立ち上げ、6桁の認証コードをコピーしてTwitterの画面で入力することで2要素認証できるようになる。
「Microsoft Authenticator」(2つめの「Authenticator」)でも、アカウントを追加すると「ワンタイムパスワードコード」が表示される。これも、先述と同じ認証コードの役割を果たすので、Twitterから求められた場合、表示されている6桁のコードをコピーして使用する。
どちらのアプリも、アカウント追加後にTwitterアプリに戻ると、6桁の認証コードの入力が求められる。コードを入力することで、互いの連携が完了するようになっている。なお、完了画面には「バックアップコード」が発行される。何らかの原因で2要素認証できない場合、バックアップコードが必要となるので、念のため保存しておこう。
設定解除の方法
なお、2要素認証を解除する場合は、Twitterから2要素認証の設定画面から設定をオフにしよう。
認証アプリは、Twitterから共有された秘密鍵を使って認証コードを出力しているだけなので、連携しているとはいうものの、どちらかの設定がオフになったら別の方もオフになるような仕組みにはなっていない。
先述の通り、認証アプリや認証アプリ内のアカウントを先に削除してしまうと、Twitterの2要素認証はそのままになってしまうので、認証が難しくなってしまう。2要素認証の設定をオフにする際は、必ず先にTwitterの設定から変更するようにしよう。