「パスワードが漏れたらおしまい」――そんな時代は、二段階認証(2FA)の登場で終わりました。設定しておけば、たとえパスワードが盗まれても、攻撃者はあなたのアカウントに入れません。
この記事では、二段階認証の仕組み、方式ごとの安全性の違い、優先して設定すべきサービス、そして「スマホをなくしたら?」への備えまでを解説します。
仕組み:「知っている」+「持っている」

二段階認証は、パスワード(あなたが知っているもの)に加えて、スマホに届くコードや生体情報(あなたが持っているもの)を要求する仕組みです。攻撃者がフィッシングや情報漏えいでパスワードを入手しても、あなたのスマホまでは持っていないため、ログインの第2関門で止まります。
パスワードリスト型攻撃(使い回しの悪用)への最終防衛線でもあり、パスワード管理と二段階認証はセキュリティ対策の両輪です。
方式は3種類:どれを選ぶべきか

SMSコード:ないよりずっと良い
電話番号宛に6桁のコードが届く方式です。手軽ですが、SIMスワップ(電話番号の乗っ取り)やSMSの盗み見といった攻撃例が知られており、選べるなら次の2方式が推奨です。
認証アプリ(TOTP):現在の定番
Google AuthenticatorやMicrosoft Authenticatorなどのアプリが、30秒ごとに変わる6桁コードを生成します。通信不要でオフラインでも動き、SMSより安全。ほとんどの主要サービスが対応しており、迷ったらこれを選んでください。
パスキー・生体認証:次世代の本命
指紋や顔認証でログインを承認する方式で、パスワード自体を使わないため、フィッシングで盗まれるものがそもそもありません。対応サービスは急速に増えており、選べる場合は最優先で有効化する価値があります。
優先して設定すべきサービス
- メールアカウント(最優先):他のすべてのサービスのパスワード再設定がメールに届くため、メールを取られる=全アカウントが危険になります
- 金融系:ネットバンキング、証券、スマホ決済
- SNS:乗っ取られると詐欺の踏み台にされ、周囲にも被害が及びます
- ショッピング系:カード情報が紐づくECサイト
- 仕事のアカウント:クラウドストレージ、WordPressの管理画面(設定方法はWordPressセキュリティの記事へ)
設定はどのサービスも「設定」→「セキュリティ」の項目にあります。認証アプリ方式なら、表示されるQRコードをアプリで読み取るだけです。
「スマホをなくしたら?」への備え
二段階認証で最も多い不安がこれです。次の2つを設定時に必ずやっておけば、締め出しは防げます。
- バックアップコードを保存する:設定時に発行される使い捨てコードを、印刷またはパスワード管理ツールに保管。これがあればスマホなしでもログインできます
- 復旧手段を2つ以上登録する:予備のメールアドレス、認証アプリのクラウドバックアップ機能などを併用します
よくある質問
Q. 二段階認証を設定するとログインが面倒になりませんか?
A. 多くのサービスには「このブラウザを信頼する」機能があり、いつもの端末では毎回の入力を省略できます。普段の手間はほぼ変わらず、防御力だけが上がります。
Q. 認証アプリのスマホを機種変更するときは?
A. クラウドバックアップ対応のアプリなら新しいスマホで復元できます。非対応の場合は、機種変更前に各サービスで認証アプリを再登録するか、バックアップコードでログインして設定し直します。
Q. 二段階認証があればパスワードは適当でいいですか?
A. いいえ。二段階認証は「最後の砦」であり、城壁(強いパスワード)とセットで機能します。使い回しをやめる基本は変わりません。
まとめ
二段階認証は「パスワード漏えい時代の標準装備」です。まずはメール→金融→SNSの順に、認証アプリ方式(またはパスキー)で設定し、バックアップコードを保管する。この30分の作業が、アカウント乗っ取りという最悪の事態からあなたを守ります。
