注意喚起：noteの個人向けプランには「2段階認証/2要素認証」が存在しない

アカウント乗っ取りを防ぐために、最近のクラウドサービスはほとんど2段階認証あるいは2要素認証が設けられています。愛用のクラウドノートサービスのNotionをはじめ、Office 365、Googleの各サービス、Yahoo!の各サービスは当たり前にあります。しかしnoteの個人向けプランには2段階認証や2要素認証は存在しないのです。

認証の3要素

認証に関する基本的な知識として、認証システムには3つの要素があることを知っておきましょう。

1. 知識要素
   パスワードや秘密の質問に対する回答などがそれにあたります。本来はその人しか知らないはずですが、メモに残したり付箋に書いて画面の脇に貼り付けたり（今更そんな人はいないか？）して他人に漏れてしまうリスクも高い要素です。
   あるいはハッカーによる攻撃でヒットしたパスワードがダークウェブにIDとセットで漏れてしまい、もはや本人以外の悪意を持った奴らであれば知りうる情報になってしまいます。
   

2. 所有要素
   これは基本的には物理的に所有している「モノ」による認証です。たとえばICカードやキャッシュカードなどがそうですし、スマートフォンのSMS認証やメールによるワンタイムパスワード認証などもこれにあたります。
   

3. 生体認証
   スマートフォンでは当たり前になっている指紋認証や顔認証がそれにあたり、バイオメトリック認証とも呼びます。銀行ATMでは静脈認証なども採用しているところもあります。

2段階認証と2要素認証

両者を混同している人が多いかもしれませんが異なるものです。

2段階認証

2段階認証とは、1段階目のIDとパスワードによる認証に続いて、あらかじめ設定した秘密の合言葉などで第2段階の認証を行うものです。

システム的には比較的簡単なのですが、パスワード認証の延長で合言葉認証などを行うため、パスワードと同時に合言葉も漏れてしまう可能性が高いため安全度は高いとはいえません。2段階認証はないよりはマシ程度です。

セキュリティを高めることにはあまり貢献しないため、最近は見かけなくなってきました。

2要素認証

最近はこちらがほとんどで、冒頭に説明した3つの要素の最低２つを認証に使うものです。

IDとパスワードを入れたあと、あらかじめ設定したSMSやメールアドレスに数字やアルファベットで6〜10桁程度のワンタイムパスワードが送られてくるものです。

あるいはSMSやメールでワンタイムパスワードがGoogleなどの専用認証アプリを使ってワンタイムパスワードを発生させそれを入力するものもあります。

note（個人プラン）の実態

noteにも当然2要素認証くらいはあるだろうと思い、アカウント設定を見てみましたがどこにも設定が存在しません。

HELPをみるとこんな記述がありました。

noteのヘルプより

え？note proって、500円/月払うものとは違うの？

はい、違います、note proは法人向けサービスで相当お高いものです、

noteのヘルプより

どうみても個人で払える金額じゃないですね（苦笑）。

note株式会社は2要素認証導入を！

note株式会社が個人向けプランで2要素認証を導入しない理由は明らかにはなっていません。

筆者個人の推測ではこんな理由かな？とおもいます。

1. ユーザーの利便性優先（筆者推測）
   面倒な2要素認証を導入しなくても、簡単にIDとパスワードでログインしたほうがよいと運営者が考えているのかもしれないという筆者の推測。
   
   →圧倒的多数のクラウドサービスが2要素認証を導入しているので、ユーザーも慣れているはずですので、もしれが理由だとすれば気にする必要は全くありません。
   

2. コスト増（筆者推測）
   2要素認証導入の対策として、2要素認証に対応できなくなったユーザーへのサポートが増えて結果的にコスト増加となると運営者が考えているのかもしれないという筆者の推測。
   
   →ならばプレミアム会員になれば2要素認証を使えるようにすれば良いのではないでしょうか？
   

3. リスクを小さく誤評価（筆者推測）
   中身として金融機関情報やもろもろの情報はないからリスクは小さいと運営者が考えているのかもしれないという筆者の推測。
   
   →プレミアム会員はクレジットカードを登録していますし、逆に支払い銀行口座も登録しています。これも立派な個人情報だと思いますが…。
   
   →さらに自分の著作物の「記事」を悪意を持って改竄されたり、簡単にアカウント乗っ取りされて、誹謗中傷記事をアップされたりする可能性もあります。乗っ取られるほうが悪いのですが、防備策を講じることができるようにする義務もサービス提供側の責任であるのは明白です。

これらの理由はあくまで筆者の想像ですが、どんなもんでしょうかね。

noteアカウントを守る自衛策

自衛策といってもあまり有効なものはありませんが、以下のことは必ずやっておくべきです。

• パスワードジェネレーターを使った強力なパスワード
  noteの要求する最低条件が「8文字以上の英数字記号」ですが、筆者は経験的に、数字・英小文字・英大文字・記号をランダムに混ぜた20桁以上にすることを強く勧めます。当然パスワードジェネレーター（アプリやWeb）を使って生成します。
  

• パスワードマネージャーアプリ活用
  ランダムに発生させたパスワードを多数覚えられるほどの人はそうそういませんので、パスワードマネージャアプリを使いましょう。筆者はEnpassというアプリを使っています。1回買い切りの有償アプリですが、1回の購入で複数のAndroid・iPhone・iPad・Mac・Windowsで利用できます。

Enpass: Secure Passkey & Password Manager That Keeps Your Data On Your Cloud Storage

• パスワードはnote専用に
  パスワード使い回しにすると、パスワードが漏れたときに他のサービスまで被害をうけてしまいます。
  

• できればメールアドレスもnote専用に
  独自ドメインでメールサービスを使っている人は専用のアドレスを作るとよいです。さもなければ専用のGmailアカウントを作ること。

noteアカウントが乗っ取られてからでは遅いです。あなたのフリをして有る事無い事を書き散らされるかもしれません。