Twitterの 2要素認証をグーグル認証システムに切り替えたメモ

ネット関連
スポンサーリンク

Twitterの二要素認証をグーグル認証システムに切り替えた話。

きっかけ

2023年2月18日、突然Twitterが二要素認証のうち「SMSによる認証」を有料にする(つまりは有料プランであるTwitterBlueの専用機能とする)と発表した。

ところがよく読むと、それ以外の2要素認証については従来のまま無料ということだったので、この際にTwitterの2要素認証を「グーグル認証システム(Google 認証システム)」アプリに切り替えたので、手順をメモしておく。

・「Google 認証システム」とは、TOTPアプリの一種です。TOTPとは「Time-based One-time Password」という技法を用いたワンタイムパスワードの一種で、時間経過で異なるワンタイムパスワードを発行することでより強固にするものです。※アプリ画面を開いたままにしておくと一定時間でワンタイムパスワードが変化するのが確認できます。
・要するにTOTPアプリであればなんでもいいのですが、「Google 認証システム」はメジャーでよく使われており、他のTOTP認証を使うシステム(例えばアマゾンなど)でも使えることがメリットでしょうか。結局スマホを紛失してログインを突破されれば、SMS認証であれTOTPであれ無力になるのは同じということは理解しておきましょう。
・「じゃあ2要素認証って意味無いの?」といえば当然意味はあります。そのアカウントが大事だと思うのであれば断然設定しておくべきです。仮にTwitterのアカウントリスト全件が漏れたとしても、あるアカウントがアナタの持ち物であると特定できた上で、2要素認証に用いているスマホを盗んだ上に認証を突破する必要があるためです。これで充分強固だということが理解できます。逆に2要素認証がなければ、どこの誰とも知れないアカウントに対しても(例えばブラウザなどから)延々とアタックすることも理論上は不可能ではありません。

 

用意するもの

  1. TwitterアカウントにログインできるブラウザとTwitterパスワード
    ※たいていの人はブラウザが記憶しているはずなのでそれをメモするなりしておく
  2. スマホと「グーグル認証システム」アプリ ※一応起動しておく
アプリは、GooglePlayストアにある:Google 認証システム – Google Play のアプリ
URL:https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=ja&gl=US
※一応便宜のためにリンクを貼っていますが、本来この種の記事で書かれているリンクなど信用せず自ら検索して公式サイトにたどり着くべきだろうと思われます。この手の記事でフィッシングすれば心理的に引っかかりやすいためです。気をつけましょう。

 

PCのWebブラウザでの2要素認証設定手順

  1. PCブラウザ(Twitter側)での手順
    1. PCのブラウザでTwitterの画面を開く
    2. 左サイドの一番下の「…もっと見る」をクリック
    3. 設定とサポート」→「設定とプライバシー」と進む
    4. センターメニューが開くので「セキュリティとアカウントアクセス」→右サイドメニューが開くので「セキュリティ」クリックで”2要素認証”の画面が開く
    5. (”詳細はこちら”の下の)「2要素認証」という文字をクリックし、真ん中の「認証アプリ」をクリックするとTwitterの認証が求められる
    6. 「わずか2ステップでアカウントを保護する」というダイアログで「はじめる」を押す
    7. 続いて画面にQRコードが表示される (ので以下手順でスマホアプリで読み取る)
  2. スマホアプリ側での手順
    1. スマホで起動しておいた「グーグル認証システム」アプリの画面右下にあるでかい「+」を押す
    2. 追加方法の選択肢が出るので「QRコードでスキャン」を押すとカメラが起動
    3. PCのブラウザに表示されているTwitterのQRコードを読み取る
    4. アプリに「Twitter(アカウント名)」が追加され、さっそくワンタイムパスワード(6桁の数字)が表示される
  3. PCブラウザ(Twitter側)での手順
    1. 再びPCブラウザ(Twitter側)に戻り、QR表示画面で「次へ」を押す
    2. ワンタイムパスワードの入力を求められるので、スマホアプリに表示されているワンタイムパスワードを入力する
    3. 「完了しました」と出て認証OK
    4. 続いて何かあった時(例えばスマホを紛失した)などのために「使い捨てバックアップコード」をメモしておく

以上で完了。

2要素認証を設定したからと言って毎回認証を求められるわけではなく、登録されたデバイス(ブラウザ含む)でのこれまで通りのログイン時には普通に通過する。ふだんTwitterに使っていない別のブラウザで管理画面にアクセスしようとすると2要素認証が発動すると思われる。

 

「使い捨てバックアップコード」とは

上記手順を実行すると(メアド登録アカウントでは)メールでもメモしておくように注意が来る。

@*****さんの2要素認証をオンにしました
つまり、Twitterにログインするときに、パスワードに加えて2つ目の認証方法が必要になります。2要素認証は、Twitterの設定の [アカウント] > [セキュリティ] セクションでいつでもオフにできます。
この使い捨てバックアップコードは安全な場所に保管してください。このコードを使うと、携帯電話を紛失した場合や、他の方法で2要素認証が利用できない場合でもTwitterにログインできます。

※下線は引用者による

要するに今ほど設定した2要素認証を必要とした時に、万が一スマホを紛失していたりといった緊急事態に、一度だけ解除できる使い捨てのパスワードのようだ。※一度使用したら無効になるため、Twitterアカウント管理画面で再発行する必要がある。

当然これも2要素認証と同じ効力を持つため、悪意のある第三者に読み取られないように管理する必要がある。

 

2要素認証をオフにする方法

  1. 上記「PCのWebブラウザでの2要素認証設定手順」で2要素認証画面まで進む
  2. 真ん中の「認証アプリ」をクリックすると「2要素認証をオフにしますか?」と尋ねてくるので、「オフにする」をクリックすればOK

 

参考)なぜSMS認証を実質有料化するのか

なぜTwitter社が今になってSMS認証を有料化するのでしょうか?

Twitterが2要素認証設定の際に必要となるSMSの送信料に年間6000万ドル(約80億円)も取られていることを明らかにしました。

Twitterは認証のために要求されたSMSの費用を通信事業者に支払っていますが、これを悪用した世界各地の不誠実な通信事業者が2要素認証のSMSを何度も何度も要求する無数のボットアカウントを作り、TwitterからSMS送信料をむしり取るような詐欺行為を働いていたとのこと。

2要素認証のショートメールを要求しまくるボットのせいでTwitterは年間80億円も失っていた
2023年2月15日、Twitterがショートメッセージサービス(SMS)を使った2要素認証設定を同年3月20日以降に有料化する方針を明らかにしました。これまで無料で使えていたものが有料になるということで一部ユーザーに混乱をもたらしましたが...
gigazine.net

世の中には色々悪知恵の働くひとがいて、Twitter社に対してSMS認証を何度も送らせることで”不誠実な通信事業者”が不当な利益を得ていた(Twitter社がたかられていた)ということです。

Twitetr社としては、SMS認証だけを有料化(SMS費用を請求する)ことも不可能ではないのですが、そのためには全ユーザーから引き落とし先口座情報など決済情報を新たに得る必要がありますがそれは諦め、有料化ユーザー(TwitterBlue)だけに限定(大量の不正アカウントを有料アカウントにはできないだろうという事で)させることにしたようです。

 

スポンサーリンク
タイトルとURLをコピーしました