Google は、「Google Prompt」と呼ばれる新しい形式の 2 段階認証を有効にすると発表しました。これにより、ユーザーは 1 回のクリックだけで Google アカウントにログインできるようになります。
SMSによる2段階認証の信頼性はますます低下しています。これは、通信事業者が情報交換に使用しているSS7(Signaling System Seven)という、簡単にハッキング可能な技術をハッカーが悪用し、ユーザーが受信するSMSメッセージや通話を傍受できるようになったためです。また、ソーシャルエンジニアリングを駆使してユーザーの電話番号を自分の携帯電話に転送することでも、同様の結果を招く可能性があります。
SMSコードを傍受できれば、パスワードさえ分かればアカウントにログインできます。しかし、ほとんどの人はそれほど強力なパスワードを使用しておらず、複数のウェブサイトで同じパスワードを使い回す傾向があります。つまり、もし利用しているサービスでデータ侵害が発生した場合、攻撃者はパスワードと2要素認証のSMSコードの両方を入手できるため、アカウントにアクセスできるのです。
Googleは、2段階認証をより使いやすく、より安全にし、新しいGoogleプロンプトオプションによってワンクリックでログインできるようにしようとしているようです。まず、Googleアカウントの2段階認証セキュリティ設定でこれを有効にする必要があります。その後、Googleアカウントにログインしようとすると、デフォルトでこれが使用されます。
Googleは具体的な仕組みについては明らかにしていないが、Project Abacusで計画されている生体認証行動技術は利用していないようだ。代わりに、Googleは特定のスマートフォンがユーザーのものであることを確認し、Play開発者サービスフレームワークを通じて、(この認証方法が設定されている)Googleアカウントに接続しようとしているのがユーザー自身であるかどうかを確認するプロンプトを送信するようだ。
この機能を使用するには、携帯電話で Google アカウント/Play Services に接続する必要があるため、PC 認証には適しており、モバイルの 2 段階認証には適していないようです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
現在、この方法はGoogle AuthenticatorとSMS認証と組み合わせて使用できますが、セキュリティキーとは併用できません。認証はGoogleのサーバーを介して行われるため、プロンプトを受信するにはインターネット接続が必要です。
AndroidユーザーはPlay Servicesの最新アップデートのみでご利用いただけますが、iOSユーザーはGoogle検索アプリのインストールが必要です。この機能は今後3日間かけて展開されるため、一部のユーザーでは2段階認証設定にGoogleからのメッセージオプションが表示されない場合があります。
この方法は、当面Google独自のサービス以外では機能しない可能性が高いですが、Googleは将来的に、開発者がモバイルアプリやChromeアプリでもこの種の2段階認証を有効にできるAPIをリリースする可能性があります。この機能はGoogleサーバーのセキュリティに依存しているため、Googleサーバーがハッキングされた場合、この認証方法も侵害される可能性があります。
ルシアン・アルマスはTom's Hardwareの寄稿ライターです。 @lucian_armasuでフォローできます。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
