Twitterは7月1日、セキュリティキーを唯一の2要素認証手段(2FA)として設定可能になったと発表しました。
ここで言うセキュリティキーは、使用者本人であることを証明するためのハードウェアです。アプリやサービス側でこれを使う設定にすると、物理的なデバイスがないと認証できないため、フィッシングや中間者攻撃などに強いという特徴があります。
Twitterのウェブ版では、2018年からセキュリティキーをサポートしており、2020年12月にはモバイルアプリでも対応しています。
さらに2021年3月には、複数のセキュリティキー登録に対応し、デスクトップPCではUSB-Aタイプ、モバイルではUSB-Cタイプなどの使い分けが可能となりました。
・Twitter、複数のセキュリティキーを登録可能に
ただ、いずれの場合でも、セキュリティキーが利用できない場合に備えたバックアップ手段として、SMSあるいはアプリによる2要素認証も設定する必要がありました。
これは仕方がないことのようにも思えますが、Twitterに電話番号を教えたくないというユーザーもいるほか、セキュリティキーを使わずとも2要素認証ができてしまうのは、物理的なデバイスが必要というセキュリティキーのメリットを事実上なくしてしまうことにも繋がっていました。
このためTwitterは、3月の時点でセキュリティキーのみの設定も可能にすると予告されていました。今回はそれがようやく実現したわけです。
この設定をした場合、セキュリティキーがなければログインできなくなるので、アカウント乗っ取りなどの被害は防ぎやすくなるものの、当然ながらユーザー自身もセキュリティキーがなければログインできなくなります。
とはいえ、Twitterにログインが必要なのはPCやスマートフォンを新しくした場合などで、利用頻度はかなり低くなっています。
しかし使う必要があるのも確か。使用頻度が低いため、かえってセキュリティキーをどこにしまったかわからなくなる……なんてことがないように注意したいところです。