パスワードだけで必要十分....と言いたいのですが、そうは言えなくなってます。 SMSの活用とかでの２ファクタ認証は、鬱陶しいくて面倒くさい事この上ないですが....仕方ないですね。 ユーザー側のやらかす問題としては.... ・簡素で単純なパスワードにしてる ・個人情報などから類推できるパスワードにしてる ・同じパスワードを異なるサービスのアカウントで使い回してる とかありますね。 いくら注意をしても、改まる事はありません。 というか、一度痛い目みないと危機感も沸かないし、新規ユーザー、新しい若年層のユーザーも、注意されたことが無いか少ないで経験が無い故に危機感も低いもあるでしょう.... また、サービスを提供してアカウントを管理してる側での問題としては.... ・アカウント情報の漏洩 でしょう。 どこかのアカウント情報が漏洩すれば、漏洩した情報をそのまま悪用して漏れたサービスへの不正アクセスができます。 で、こういう問題が単独ではなく複合的に重なってもきます。 アカウントのIDはメールアドレスとか多いですよね。 メールアドレスを複数で相応に大量にもちつつ、全てのアカウントで異なるメールアドレスとするは現実的では無いから、メールアドレス、つまりアカウントのIDは使いまわしをする事が多いと思います。 で、アカウントのIDは同じというのは仕方ないとして、異なるアカウントで同じメールアドレスのIDになっている場合に、もしも、パスワードが同じだと、漏れた情報で他のサービスのアカウント不正アクセスをすると成功する可能性がありますね。 こういう攻撃は「パスワードリスト攻撃」と呼ばれます。 パスワードの使いまわしを止めてと言われれるのは、こういう攻撃の手段もあるからです。 ２ファクタ認証だと、うっかり、パスワードの使いまわしをしていて、さらに不運な事に、どこかで漏洩をしても、パスワードリスト攻撃は、２ファクタ目の認証があるので防げます。 今どきは、詐欺的な手段でアカウントを盗まれる事もあります。 詐欺メールや、詐欺サイトは雨後の筍ですね。 この場合も、IDやパスワードをうっかり入力でも、２ファクタ目の認証があれば、速攻で攻撃は成功しません。 ただし、詐欺の画面で、IDとパスワードと、２ファクタ目でワンタイムパスワードを同時に入れされるとかあります。 でも、そいいう同時に同じ画面での入力の手段は正規ではありえないから知識として身についていれば、不審なサイトと判断できますよね。 また、SMSとかメールでのワンタイムパスワードなら、そもそもIDとパスワードの同時入力もありえません。 最近は、正規のサービスの画面だと、IDとパスワードを入力するタイミングも別の画面もありますね。 まあ、画面を分ける程度なら、偽サイトでもできますが.... そういう訳で、パスワード以外での、他の要素による本人確認ができるからこその、安全性はあります。 サービスを提供してる側からの、漏洩が無ければ良いのですが、現実には、漏洩はありますからね、 SMSやメールでワンタイムパスワードを発行以外に、専用のハードウェアでトークンとかもあるし、固定電話から指定された番号へ電話させるとかもありますね。 いずれも、２ファクタ目があることで、IDやパスワードの漏洩が万が一にあっても、易易とアカウントの乗っ取りには繋がりません。