はじめに

年末年始、持っているアカウントについて可能な限り MFA (二要素認証) を有効化する作業をしました。

私は ID とパスワードを某パスワードマネージャで管理しているので、そこに登録してあるアカウントを片っ端から見ていくことにします。

なお、今回の作業対象は個人で持っているアカウントです。

方針

• 今後も利用するアカウント
  • MFA を利用可能な場合は、有効化する。
    • パスワードマネージャに付属しているワンタイムパスワード機能は使わない。
    • 方式選択できる場合の優先度：ソフトウェアトークン > メール > SMS
      • セキュリティキー (物理) は導入検討中のため保留。
      • 利用している SMS が海外での受信に対応していないため、 SMS は優先度下げ。
  • MFA を利用できない場合
    • ログイン通知などの不正検知機能がある場合は、有効化する。
    • パスワード強度が弱い場合は、パスワードを変更する。
    • 個人情報が登録されているサイトについては、今後も棚卸対象にするため、パスワードマネージャ上でラベルをつけておく。
• 今後利用しそうにないアカウント
  • 退会/アカウントを削除する。
    • パスワードマネージャ上でもアーカイブ処理する。

※ 2022/12 時点での私の個人的な方針であり、これが最良とは考えておりません。

結果

所要時間 1 日弱 (途中脱線あり)
重複削除や再登録など行っており正確にカウントできなかったため、数はおおよそのものです。

作業前

概要	アカウント数
全アカウント	270
MFA/SSO が元々有効化されている	20
MFA/SSO は無いが、ログイン通知がある	10

作業後

概要	アカウント数
全アカウント	230
新たに MFA を有効化した	30
退会・アカウント削除した (アーカイブ)	15
重複・無効化済みだった (アーカイブ)	20
用途不明・退会できない (ラベル付けて残存)	20

MFA 有効化済みのアカウント総数は 50 となりました。
ソフトウェアトークン利用が 35、メールが 10 強、SMS が数個といったところです。

一方、個人情報が登録されているものの、MFA 機能・ログイン通知機能がともに無いサイトは 55 ありました。
EC サイト、予約サイト、試験申し込みサイトなどが含まれます。

雑感

作業中に困ったこと

• MFA 設定ページ・パスワード変更ページの場所が分からない。
• パスワードの最大文字数や使用可能な文字種が書かれていない。
  • 入力した時点でエラー表示されるならまだ良いのだが、登録ボタンを押した後でエラー表示が出る。
• ログアウトボタンが見あたらない。
• 退会・アカウント削除方法が分からない。
• サイトがリニューアル/統合されていて、旧アカウントがどうなったのか分からない。

UI として良いなと思ったもの

• マイページのトップに、 MFA の利用について案内が表示されており、設定ページに飛べる。

システム・サービスを提供する側として

• ログイン設定ページや FAQ ページへの動線はわかりやすく。
• ログインセキュリティを強化した人のみ対象のクーポンやキャンペーンがあっても良さそう。
  • 売れるかは分かりません。

システム・サービスを利用する側として

• 余計なアカウントを作らないようにしたい。
  • けど新しいものは試したい。
    • 個人情報の登録が少なく済むものを優先する。
    • あとは諦めて棚卸する。
• アカウント作成と同時に、可能なら MFA を設定する。
  • MFA 設定できない場合はラベルをつけておき、棚卸対象とする。
• MFA が利用できないなら、せめてログイン通知が欲しい。

そういえば、連続でログインに失敗するとロックがかかるのか、をチェックしそびれました。
(機能あったとして、ヘルプページに書いてあるものだろうか...)

おわりに

保有アカウントのうち、MFA またはログイン通知が有効化されているものが約 1/10 → 1/5 になりました。
アカウントを片っ端から見ていくのはかなり面倒なので、来年はラベルを付けたものなどを重点的にチェックします。