Twitterが、3月20日以降はSMSを使用する2要素認証の提供を有料ユーザー限定にすることを明らかにしました。
2要素認証とは、サービスへのログインの際にパスワードだけでなく、物理的なキーやSMSを通じて配布されたPINコードなどを使ってアクセスを許可するしくみのこと。
もし悪意あるハッカーなどにパスワードが盗まれてしまった場合でも、ユーザーの携帯電話にアクセスできなければサービスにログインすることができず、セキュリティを維持できるのがその大きなメリットです。
しかし、Twitterは「SMSを利用する2要素認証が悪用されていることを確認している」とし、月額制サービスのTwitter Blue登録者以外へのSMSベースの2要素認証をなくすことにしたと述べています。
なお、TwitterはSMSサービスではなく、認証アプリやセキュリティキーを使った2要素認証の仕組みも提供しています。今回無償のユーザーが使えなくなるのはSMSによる2要素認証だけなので、他の2つの方法に関してはこれまでどおり使い続けられます。
ちなみに、Twitterの透明性レポートでは、2要素認証を使用しているユーザーは全体の2.6%しかおらず、そのうちの76%がSMSを経由して認証キーの配布を受けているとのこと。
もちろん、ユーザーに高いセキュリティ機能を提供することは、Twitterのように広く一般に使わるサービスほど重要なことのはず。サービスにお金を落とさないユーザーだからと言って、より高いセキュリティ上の選択肢を無くしてしまうのはどうかという気もします。とはいえ、経営者の観点からは、ほとんど使われないサービスにお金をかけ続けるのは無駄でもあります。
前述のとおり、認証アプリやセキュリティキーによる2要素認証は引き続き無償で使うことができるので、これまでにアカウントを乗っ取られたことのあるユーザーや、それを避けたいと思うユーザーは、自ら適切なセキュリティ手段を選び、備えておくことができます。