社用(google/MSN)アカウントなどの二段階認証で登録する電話番号は何を登録すべきか。

結論
　自分の私用の番号を登録するのがベスト

Googleの二段階(要素)認証には

• 電話番号(必須)
• 認証アプリ(google authenticator)
• 端末に通知が来て認証
• セキュリティ キー(物理キー）
• バックアップコード(緊急用？）

がある。
すべて所有情報による認証である。
なお、Googleにおいては下４つを使用する場合でも電話番号の登録が必須である。

さて、社用にGoogleアカウントが貸与され、この電話番号に会社が所有している電話番号などに集約していたり、個人貸与の社用携帯の番号を入れたりしている人がいるかもしれないが、これは大丈夫だろうか。
簡潔に言うと「避けたほうがよい」と私は思う。

先程も書いた通り、認証対象の「所有情報」を用いて本人と特定している。
そこに自分が所有していない可能性があるモノを登録するのは適切ではない。
常に管理下にあるわけではない端末や番号が「他者にわたっていないか」「（故障・解約などで）使えなくなっていないか」等を保証することはできない。

なりすまして、管理者宛に「二段階認証の番号が届いているから確認して教えてくれ」とソーシャルエンジニアリングされる可能性もある。