Twitterの二段階認証に「TOTP認証(モバイル認証アプリ)」を設定する方法。 すまほん!!

 Twitter社は2023年2月18日未明、二段階認証のSMS認証を、Twitter Blue(有料プラン契約者)に限定する方針を打ち出しました。

 SMS認証に代わる、TOTP認証を設定する方法について解説します。

そもそも、なぜ移行する必要があるの?

2023年3月19日までに移行を

 Twitterにアクセスできなくなることを防ぐため、非契約者のSMS認証は2023年3月19日までに削除することを求めています。

 認証アプリやセキュリティキーといった従来方式の二段階認証は利用できるため、TOTP認証に移行しましょう

SMS認証よりTOTP認証の方が安全

 そもそも、なぜそんなの移行しなきゃいけないの?と疑問に感じるユーザーも居ると思います。

 TOTP(Time-base One Time Password)認証とは、30秒や1分程度で切り替わるアプリ上の数字(ワンタイムパスワード)を、サービス側に打ち込んで認証するもの。端末側アプリとサービス提供者側の間で、通信せず、しかし保持する計算式は両者で同一であるため、同一の数字が出ます。その計算結果を合言葉に、認証するわけですね。

 サービス提供者側が数字を送るSMS認証と異なり、通信経路上の傍受で数字が漏れるということがない安全な認証と言えます。

 さらにSMS認証の致命的なのは、携帯会社側の問題です。たとえばSIMハイジャックと呼ばれる、携帯の回線契約ごと乗っ取ってしまう手法です。海外では最近流行っています。

 日本では本人確認義務があるためそれほど顕在化はしていませんでしたが、最近偽造免許証でSIMカードを紛失したと偽り、SIMカードを再発行して乗っ取る国内の事件も報道されています。

 また楽天モバイルはeSIM発行手続きが簡便で利用者目線である一方、現時点では(パスワード使い回しなどを一切していなければよほど心配はしなくていいとはいえ)セキュリティ的に若干の不安もあります。

 こうした背景を踏まえてもTOTP認証の方がより安全です。

コスト削減も背景か

 また、サービス提供事業者側の目線では、安全性が向上するだけではありません。

 1通数円かかるSMSを用いた認証よりも、TOTP認証へと一元化したほうがコスト削減になります。課金者のみSMS認証存置はそういうことでしょう。

TOTP認証に移行する方法

設定方法

 Twitterの設定から開いて、TOTP認証を設定します。PCで設定を開いて、QRコードをスマホの認証アプリで読み取るのがおすすめ。

 以下、Twitterの設定。

  • 設定とサポート→設定とプライバシー→セキュリティとアカウントアクセス→セキュリティ→2要素認証→認証アプリのチェックを有効化

 ここでQRコードが打ち出されるので、認証アプリから読み取って登録してください。

 スマホ側の認証アプリは「Google Authenticator」「Microsoft Authenticator」「1password」や、iOS標準の「パスワードマネージャ」が利用できます。これらでQRコードを読み取るだけ。

Google認証システム→右下の追加ボタン→QRコードをスキャン

Microsoft Authenticator

 1password利用者の場合は、TwitterのID/パスワードを登録している項目を「編集」時、「さらに追加」から「ワンタイムパスワード」を追加して、入力欄右側にあるQRアイコンを押してカメラ起動、さきほどのTwitterのQRコードを読み取ってください。

 iOSの設定→パスワードからアクセスできるパスワードマネージャーでも、QRを読み取ってワンタイムパスワードを設定できます。

設定→パスワード→Twitter→アカウントオプション→確認コードを設定→QRコードを読み取り

利用方法

 二段階認証は特に重要なアカウントの設定変更時や、新規デバイスでのログイン時に走ります。その時に入力を求められる認証コードは、アプリから表示できる数字。これがワンタイムパスワードとなり、ログインできます。

余談

複数デバイス運用

 なお機種変更時には認証アプリの移行作業を忘れずに。適切に管理しましょう。

 QRコードをGoogle認証アプリで読み取る際に、複数デバイスで読み取っておけば、複数端末での運用はできます。同期はできません。必ず新機種を購入したらエクスポートして移行してください。

 Microsoft AuthenticatorはMicrosoftアカウントやiCloudでのクラウドバックアップが可能。

 有料のパスワード管理ソフトである1passwordは同期が可能で楽ではあるのですが、TOTPのセキュアさをより意味あるものにするためにはパスワードとワンタイムパスワードの一元管理はせず、ワンタイムパスワードのみ別アプリで管理した方が、本来は良いだろうと思います。

説明が雑

 Twitter側がアプリに突如表示した「SMSを使った2要素認証を削除してください」とデカデカ書いた説明がすごいです。ユーザーの心理を考えていません。実際いきなり「消せ、認証アプリかセキュリティキー使え」と言われて、まったく意味がわからなかった人も少なくないでしょう。

 Twitter社がアプリに表示すべきだった文章はこうです。「このたびTwitterはセキュリティ強化のため、二段階認証をより安全性の高いTOTP認証へと移行します。多くのサービスが既に採用しているGoogleのアプリなどが利用でき、導入も簡単です。維持コストの高い従来のSMS方式は、課金ユーザーにのみ引き続きサポートします」と、このようにさらっと簡潔丁寧に言えば済む話です。

 いくら放漫財政のTwitter社内の無用な人員の整理が不可避だったとはいえ、最低限ユーザーとのコミュニケーションを図るための人材は確保したほうが良いと思います。

こんな記事も読まれています

ソニーの見守りGPS「amue link」本体価格と月額利用料を大幅値下げ。

amue linkSony

ソニーネットワークコミュニケーションズは、2020年12月に発表された小型GPS見守り端末「amue link」の本体価格および月額利用料の改定を発表しました。これまで提供されてきた、3年間の利用料金を端末代金に含めた3年買い切りプランの提供を終了し、新たに端末代金と月額利用料を分けたプランを用意。新しい料金形態では、端末の市場推定価格は5980円、月額利用料は748円に。またNURO 光契約者向...

ポストAirDrop?Edgeに追加予定のWindows/Mac/Android間ファイル共有「Drop」機能を使ってみた。

AirDroidAirDropDropMicrosoftMicrosoft Edge

Microsoftが開発するブラウザ「Microsoft Edge」において、異なるOS・デバイス間でファイルを共有できる「Drop」機能がテストされています。この「Drop」機能は、開発者向けに提供されているEdge Insider PreviewのCanaryチャネルにおいて利用可能。Microsoft Edgeをインストールし、同じMicrosoftアカウントでサインインしたWindows・...

Windows 11、M1/M2 MacでのParallels Desktop実行をサポート!

AppleApple M1Apple M2Apple SiliconCorel

米Microsoftは、Corel(コレール)社がMac向けに提供する仮想化ソフトParallels DesktopによるWindows 11の実行を正式にサポートしたと発表しました。IT leaders, the ultimate solution is here! 🎉 With #ParallelsDesktop authorized by @Microsoft, you ca...

Twitter、画像と動画とGIFをまとめて最大4つツイート可能に。

Twitter

ツイッターは1件のツイートに複数の種類のメディアを追加する機能を実装しました。アプリからツイートしようとすると、案内が表示されます。従来は1件のツイートにメディア(画像、動画、GIF)を載せる際はどれか1種類しかできませんでしたが、混合して選択できるようになっています。合計4つまで。実際のツイートがこちら。ブラウザ版でも表示できます。ただし埋め込みには非対応のよう。2つ目に追加した動画のみ表示され...

雷軍CEO「人生最後の主要な挑戦」。シャオミ自動運転車の意気込み語る

EVXiaomi自動運転電気自動車

Xiaomiは以前より自動車分野への参入に積極的な姿勢を見せていましたが、そのプロジェクトは大きな進歩を迎えているようです。XiaomiのLei Jun(雷軍)CEOは、Twitterにて「テスラはXiaomiよりも10年以上早くEVに参入し、Xiaomiは参入のチャンスを逃したと思う人もいるかもしれないが、私はそうは思わない」といった旨のツイートを投稿。また、彼が記したXiaomiの経営思想を語...

𝕏もフォローしてね

Webサービス」についての他の記事

BOOTH、スマホアプリのサービス提供を終了。

BOOTH

PixivのBOOTHは、Android・iOSアプリのサービス提供を終了したと発表しました。昨年から既に新規ダウンロードは終了済み。あくまでアプリ版の終了のため、購入履歴などは削除されず、Web版でこれまで通り確認可能。pixivの他のアプリにも影響はなし。2023年10月31日にはスマホのブラウザでプッシュ通知を受け取れるようになっており、満を持してのアプリサービス終了。今後はブラウザから利用...

古いXアカウント、IDが運営によって「売却」されていることが判明。

X(Twitter)

X(Twitter)が、使われていないアカウントのIDの販売を開始したようです。Forbesが現役でXで勤務する匿名の情報提供を元に報じています。それによると、@Handleチームとして知られる社内チームが、未使用のアカウント名を販売する主旨のメールを送信。一部事例では購入希望者に一律5万ドルの手数料を請求しているとのこと。どの程度アカウントを放置すると売却されるのか、誰に対してユーザー売却が提案...

X(Twitter)に広告なし「Premium+」登場。368円の廉価プランも

Twitter BlueX PremiumX Premium+X(Twitter)

X(Twitter)は、有料プラン「X Premium+」を開始しました。月額1960円。年間契約すると12%オフの2万560円/年。基本的な内容は従来のX Premiumとほぼ同じ。広告表示を半減していたのが、X Premium+の場合は広告なしになります。月額368円の廉価プランとしてBasicも追加されました。認証チェックマークは付かず、広告も減りませんが、複数の各種機能が追加されます。...

YouTube、新機能を大量発表。「長押し2倍速」「他動画との音量を均す」

YouTube

Googleは、YouTubeに対して30個の機能面・デザイン面でのアップデートを行ったと発表しました。シンプルながら利便性を向上させるものや、これまでYouTube Premiumのユーザーに先行で提供されていた機能が一挙に登場します。まず最初はスマートフォン向けの聴覚保護機能。スマートフォンに「大きな音をブロックする」機能が付いているものも多くありますが、それとは異なり、これは動画ごとに異なる...

X(Twitter)、課金しないと新規アカウントで書き込めない「Not A Bot」のテストを開始。広告の量によって価格の異なる2つの新プランも

TwitterX(Twitter)

いつまでも旧称が定着しているX・旧Twitterですが、最近ではイーロンマスク氏の過剰にも思える懸命な対応にもかかわらず、著名人の投稿に適当なAI生成した文章を投げたり、引用リツイートの文章をパクッてリンクと一緒にリプライしたりするようなBotが雨後の筍のごとく現れています。そこでXは日本時間18日、Botを排除するための「Not A Bot」のテストを一部国で開始したことを発表しました。Not ...

Amazon Music Primeが自分で曲を選んで再生できるオンデマンド再生に対応!オフライン再生や無限スキップも

AmazonAmazon MusicAmazon Music Prime

AmazonがPrime会員向けに提供している音楽配信サービス「Amazon Music Prime」に、ユーザーが自身で再生する曲を自由に選択できるオンデマンド再生機能など、複数の新機能が追加されました。プレイリストを使ったオンデマンド再生機能を追加Amazon Music Primeではこれまで、スキップ回数に制限のあるシャッフル再生が基本で、自身で聞きたい曲を聴きたい順番で聴くことはできませ...

YouTube、新しい起動アニメーションを広範に展開。

YouTube

スマホアプリ版のYouTubeを開くと、YouTubeのロゴがシンプルに少しの間表示されたのちにYouTubeのホーム画面に移動しますが、Googleは起動アニメーションの展開を始めているようです。Android Policeが伝えました。アニメーションそのものはとてもシンプルで、シークバーを連想させる線が伸びたのちに見慣れたYouTubeアイコンが表示されるというもの。YouTube has a...