アプリを使った2段階認証とパスキーの設定
アマゾンにアクセスしたら、まず「ログインとセキュリティ」の設定から「2段階認証(2SV)」を有効にすることだ。パソコンでアクセスしている場合は、この設定は、画面右上にある「アカウント&リスト」から「アカウントサービス」→「ログインとセキュリティ」の順番で開くといい。
デフォルトでは、携帯電話番号にSMSでワンタイムパスコードが送られる。しかし、これは最も劣悪な2SVの使い方だ。代わりに、主要な認証アプリ、たとえばアップルの「パスワード」、グーグルの「Authenticator」(Android版/iOS版)、Bitwardenの「Bitwarden Authenticator」(Android版/iOS版)を使用するべきだ。
すでにSMSによる2SVを有効にしている場合は、「2段階認証設定をクリアする」必要がある。そのためには、 「ログインとセキュリティ」>「2段階認証」の管理画面で、「無効にする」を選択し表示されるウィンドウで「2段階認証の設定もクリア」をチェックし、最後に認証アプリを使って再度2SVを有効にする必要がある。
「パスキー」の利用を強く推奨
これでアカウントはかなり安全になる。しかし、攻撃者が偽のサインインページを使ってワンタイムパスコードを騙し取る可能性は残っている。そのため、アカウントに「パスキー」を追加し、それをデフォルトにすることを強く推奨する。
パスキーは「フィッシングに強い」。これはアマゾンへのサインインを物理的なデバイスのセキュリティと連携させるもので、たとえば、携帯電話の生体認証やPINがそれに該当する。2SVのコードを盗むことも、回避することもできない。
アマゾンのパスキーを追加する方法については、こちらに詳細な手順が掲載されている。
これらの変更を行えば、攻撃者がユーザー名とパスワードを盗んでアカウントにアクセスすることは不可能だ。最低でも、認証アプリを開き、コードを共有しなければならない。しかし、攻撃者はアプリが使用されていることを知ることはできない。
パスキーを使用することが最も安全であり、信頼できるデバイスでのみパスキーを使用するルールを設定すれば、アカウントが侵害されることはない。今すぐ設定を変更しよう。攻撃が進行している状況を考慮するなら遅れることなく対処するべきだ。
