二段階認証

最近インターネット上のいろいろなサービスにアクセスしたときに
二段階認証の設定をするように勧められます。
もちろんこれにより不正アクセスやアカウント乗っ取りを難しくでき、
より安全になるのはわかるのですが、正直言って非常にうざったい。
なぜって私は二段階認証できる環境にないからです。

そもそも代表的な二段階認証は、
ある端末からユーザーIDとパスワードでログインする際に
さらにワンタイムパスワードを入力を要求し、
そのワンタイムパスワードはあらかじめ認証された端末に通知する、
というようなシステムです。
利用方法の細かい部分はサービスにより異なりますが、大筋ではこんなものです。
別に画期的でもなんでもなく古くからあるシステムなのですが、
スマートフォン(携帯電話含む)が広く普及し、
それらを「あらかじめ認証された端末」として使えるようになったのがミソです。

ところが、さらに時代の先端を走る私(?)のように、
スマートフォンやモバイルルータを複数持っていてTPOで使い分けるとか、
今使っているSIMカード(電話番号)を1ヶ月後には使っていないかもしれない、
というようなユーザーにはこの二段階認証は非常に利用し辛いのです。
さらに日本のSMSは携帯電話の進化の過程でガラパゴス化してしまったために、
データ通信(キャリアメール)を契約していない携帯電話は
たとえ将来にわたって長期に利用する予定であっても使えません。
サービスによってはそれでも可能ではあるのですが、
あらゆるサービスで統一的に使えないと面倒です。
またログインのたびに通信料がかかるなんてのはもってのほかです。

ということで二段階認証は嫌いな私ですが、
そんなことを言ってられない事態が実にタイムリーに起きてしまいました。
OpenSSLのHeartbleedです。
脆弱性があるままでもログインの度に二段階認証をかければまあ安全ではあります。
これは心を入れ替えろと言う啓示なんでしょうかね。

二段階認証に別途通信機器が必要と言うのは今の私のはきついので、
ウェブブラウザのクライアント証明書がもっと普及してほしいですね。
各ユーザの各機器ごとにパスワードで解除するクライアント証明書を発行して端末認証し、
さらにログイン用のパスワードで個人認証するなら私にも便利そうです。
まあITリテラシーが高くない方にやさしくないのが泣き所なので普及は難しいかもしれませんが。