Twitterで二要素認証する際の注意

結論：二要素認証する際はバックアップコードを普段使っている端末とは別に保管しておこう、できれば紙に書いておく

結論からいうと、Twitterの二要素認証は不要なのではないかと思っている。不要は言い過ぎにしても、安易に設定しない方が良い。

その理由は、Twitterに不正アクセスされる方が「まだマシ」だからだ。(永久にアカウントが失われるよりは・・・)

二要素認証をしていない場合、Twitterのパスワードが漏洩したら不正アクセスされる危険があるが、不正アクセスに気づいた時点でパスワードをリセットすれば済む。

パスワードを変えるにはメアドが必須なので、メアドがハッキングされない限りは、「一時的にアカウントを乗っ取られる程度」で済む。

永久に失われる訳ではないのだ。

二要素認証は一歩間違えれば、永久にアカウントが失われる。

アカウントに紐づけているメールアドレスの方がハッキングされたら確かに困るのだが、メアドの方に二要素認証をセットしておけば事足りる。

私のGoogleアカウントは二要素認証を施してあるので安全だ。(おまけにTwitterとは違って電話番号や端末、復元用のメアドなど複数のアカウント復活の道筋が残されている)

Twitterの不正アクセス防止のために二要素認証する場合、注意しないといけない点がいくつかあり(二要素認証の注意に関してはTwitterに限らずだが)

特にTwitterでは！注意しなければいけない。

なぜか？その理由を説明する。

Twitterの場合、二要素認証アプリで発行されたコードを読み取って、その端末に入っているアプリがないとログインできなくなる仕組みなのだが・・・

Twitterアカウントにメルアドを紐付けていたとしても、電話番号を紐付けていたとしても、二段階認証をしてしまったら二要素認証のアプリのコードがないと「永久にログインできなくなる」

ほとんどの二要素認証アプリはiCloudバックアップに対応していないため、端末バックアップを取っていても、端末を紛失・破損したら一巻の終わりである。

二要素認証にはバックアップコードがあるので、そのバックアップコードを安全に保管していれば平気だが、バックアップコードはどこに保管すれば安全か分からない。

結論としては紙に書いて金庫に入れるというアナログな方法が一番有効なように思う。

少なくとも、Twitterを普段使用している端末とは別に二要素認証アプリを入れる必要があるだろう。

そして、これがなかなか難易度が高い。特に色々なブラウザでアクセスする場合はしょっちゅう持ち歩いている端末じゃないと二要素認証がやりにくい。

アカウントにメアドと電話番号を紐づけていても、二要素認証アプリを使った場合は端末を無くしたら最後である。

運営にいくら連絡しても定形文のメールが返ってくるだけ、梨のつぶてである。

二要素認証を使用した場合、不正アクセスの危険は減るがもう二度とアカウントが復活することはないというリスクを負うことになる。

Twitter運営の方へ

1. 一時期、電話番号のみでアカウントを作成できましたが、電話番号が複数のアカウントで使えました。ある日から電話番号が複数のアカウントに紐づけられなくなりましたが、その影響からか電話番号からパスワードをリセットしようとすると、「複数のアカウントが見つかりました」と出力されてパスワード変更ができません。

2. 電話番号とメルアドをアカウントに紐づけられますが、電話番号しか紐づいていないアカウントから電話番号を削除できてしまいます。その状態でパスワード変更を促されると、そのアカウントに二度とアクセスできません。

Conclusion: When using two-factor authentication, keep the backup code separate from the device you usually use, preferably on paper.

As it turns out, I don't think Twitter's two-factor authentication is necessary. Unnecessary is an overstatement, but it's better not to set it easily.

The reason for this is that it's "still better" to be illegally accessed on Twitter. (Rather than lose your account forever...)

If you don't use two-factor authentication, your Twitter password is at risk of being accessed illegally if it is leaked, but you can just reset your password when you notice the unauthorized access.

Since the email address is required to change the password, as long as the email is not hacked, it will only take "as long as the account is temporarily hijacked".

It's not lost forever.

Two-factor authentication, one wrong step and you'll lose your account forever.

If the email address tied to the account is hacked, it's a problem for sure, but it's enough if you set two-factor authentication on the email address.

My Google account is secure because I have two-factor authentication. (In addition, unlike Twitter, there are still multiple ways to revive the account, including phone numbers, devices, and email addresses to restore.)

When you use two-factor authentication to prevent unauthorized access to Twitter, there are some points you need to be careful about (not only for Twitter but also for two-factor authentication).

Especially on Twitter! We have to be careful.

Why? I will explain why.

In the case of Twitter, the code issued by the two-factor authentication application is read, and you can't log in without the application in the device...

Whether you have your email address tied to your Twitter account or your phone number tied to your Twitter account, once you've gone through two-step verification, you'll be "permanently unable to log in" without a two-factor authentication app code.

Most two-factor authentication apps don't support iCloud backup, so even if you take a device backup, it's the end of the line if you lose or corrupt your device.

Two-factor authentication has a backup code, so I'm fine as long as I keep that backup code safe, but I don't know where to keep the backup code safe.

In conclusion, the analog method of writing on paper and putting it in a safe seems to be the most effective.

At the very least, you'll need to put in a two-factor authentication app that's separate from the device you usually use for Twitter.

And this is quite a challenge. It's hard to do two-factor authentication unless you have a device that you carry around a lot, especially when you access various browsers.

Even if you have your email address and phone number tied to your account, if you use a two-factor authentication app, the last thing you want to do is lose your device.

No matter how many times I contacted the management, all I got was a boilerplate email back, and it was a pear-shaped mess.

Using two-factor authentication reduces the risk of unauthorized access, but you run the risk of never having your account reinstated again.

For those who run Twitter

At one time, you could create an account with just my phone number, but my phone number could be used for multiple accounts. One day, my phone number is no longer tied to multiple accounts, but when I try to reset my password from my phone number, I get "multiple accounts found" and I can't change my password.

I can link my phone number and my email address to my account, but I will be able to delete my phone number from an account that only has a phone number attached to it. If I am prompted to change my password in that state, I will never be able to access that account again.