C-Production

これまで2ファクタ認証を導入については不便によるデメリットの方が大きいと思いためらってましたが、iOS10.3では2ファクタ認証にしていないと設定アプリにバッチ表示されたりしてちょっと気になるため2ファクタ認証に切り替えました。

もう一つの理由としてiCloudのバッキング予告と同時期に自分のApple IDがロックされたというのもあります。Apple IDをロックしたのは便乗犯だと思いますが・・・。

早速ですが、2ファクタ認証について不安に思っている事や疑問を一通り試してみました。

1. iPhone実機で2ファクタ認証を求められたら？
   iOSアップデートの時：同じApple IDで使用しているiOS機器があれば、2ステップ認証と似た感覚でコードを受信できます。
   通常使用時にiCloudへログイン：SMSでコードを受信後、自動入力され認証が完了します。
2. SMSを受信しない他のiOS機器で2ファクタ認証を求められたら？
   同じApple IDで使用しているiOS機器があれば、2ステップ認証と似た感覚でコードを受信できます。もしなくても指定したSMSが受信できる機器にコードが送信されます。

以上より、2ファクタ認証にしていても複数のiOS機器を持っていればiPhone無くしてもMacやiPadからiCloudにログインしてiPhoneを探すことができるので一安心しました。

次にアカウントロックの対策ですが、常々不安に思ってたことで現実にやられたので直ぐに対策を打たなければならないのですが、世間で「パスワードを使い回すのは危ない」と言われる以上にアカウント名の使い回しの方が危ないことがあります。

理由としてはメールアドレスをログインアカウントにしているシステムだと、サービスごとにメアドの準備ができなくて使いまわすこともあるし、普段連絡に使用しているアドレスなら自ら公開しているのと変わらないので簡単に狙われてアカウントロックやパスワードの初期化をされかねないのです。

AppleもGoogleもFacebookもAmazonもTwitterも全て当てはまるのですが、2ファクタ認証導入する前にメアドでログイン認証やめろと言いたい。

メアドでログイン認証する困ったシステムに対しては、認証専用のメアドを各々用意しますがさすがに全部メアドを分けると受信箱が増えすぎて困るので影響度でグループ分けします。

• 影響[大]（直接金銭被害を受けるもの）
  メアド認証の場合はそれぞれ認証専用のメアドを発行します。
  アカウント名認証でメアド非公開であれば1つの認証メアドにして+記号による振り分けで妥協。
• 影響[中]（金銭被害は無いが、情報流出されると困るもの）
  メアド認証の場合はそれぞれメアド発行する。
  アカウント名認証でメアド非公開であれば1つの認証メアドにして+記号による振り分けで妥協。ただし上位グループのメアドは流用しない。
• 影響[小]（金銭被害も、流出される情報もないもの）
  1つの認証メアドにして+記号による振り分けで妥協。ただし上位グループのメアドは流用しない。

一応+記号を使って全てのサービスについて別のメアドということにしてますが、もしかしたら+記号削って不正ログインされる可能性もあるので+記号を登録に受け付けないサービスの場合は別のメアドを発行することになります。あとはスパムメールが+記号を削って送られたら流出元のサービスが特定できないというのもありますがそこは管理コストも考慮して妥協するところかなと思います。