二要素認証（2FA）とは何ですか？

パスワードに加えてもう1つの要素（SMS、認証アプリ等）で本人確認する仕組み。アカウント乗っ取りを防ぐ。

二要素認証（2FA）のポイントは？

知識要素（パスワード）＋所持要素（スマホ）or 生体要素（指紋）。TOTP（認証アプリ）がSMSより安全性が高い。Google Authenticator、Microsoft Authenticator が代表的。パスキーは2FAを超える次世代認証

【にようそにんしょう】

💡 パスワード＋もう1つで「二重ロック」にする

📌 このページのポイント

二要素認証のイメージ

ひよこ

なんでパスワードだけじゃダメなの？

ペンギン先生

パスワードが漏れたら終わりだから。フィッシング、データベース漏洩、使い回しの悪用など、パスワードが盗まれるリスクは常にある。2FAがあれば、パスワードが漏れてもスマホがないとログインできないから、被害を防げるんだよ

ひよこ

SMSとアプリの違いは？

ペンギン先生

SMS認証は電話番号にコードが届く方式だけど、SIMスワップ攻撃（携帯会社を騙してSIMを乗っ取る）やSMSの傍受リスクがある。TOTP認証アプリ（Google Authenticator等）は端末内で30秒ごとに変わるコードを生成するから、通信を傍受されても安全。可能な限りアプリ方式を使おう

ひよこ

設定が面倒…

ペンギン先生

最初の1回だけQRコードを読み取れば、あとはアプリを開いて6桁のコードを入力するだけ。1Passwordなどのパスワードマネージャーに統合すれば、コードの自動入力もできるよ。面倒さは10秒程度の手間で、アカウント乗っ取りの被害（数時間〜数日の対応）に比べれば圧倒的に小さいよ

ひよこ

スマホをなくしたら？

ペンギン先生

これが2FAの最大のリスクだね。対策は①リカバリーコード（初回設定時に表示される緊急用コード）を安全な場所に保管、②複数のデバイスにTOTPを登録、③パスワードマネージャーのクラウド同期を活用。リカバリーコードを保存し忘れてスマホを失くすとアカウントに入れなくなるから、設定時に必ず保存しようね

まとめ：ざっくりこれだけ覚えればOK！

「二要素認証」って出てきたら「パスワード以外にもう1つの確認で安全性を上げる仕組み」と思えればだいたいOK！

📖 おまけ：英語の意味

「Two-Factor Authentication（2FA）」＝二要素認証

💬 Two（2つの）Factor（要素）で Authentication（認証）する仕組みだよ