仮想通貨アカウントは高価値な標的
仮想通貨には「取り消し」ボタンはありません。誰かがあなたの取引所アカウントに侵入し、資金を転送すると、そのお金はほぼ確実に消えます。チャージバックなし、銀行の詐欺部門なし、取り消しなし。
これにより、仮想通貨取引所アカウントは二要素認証を有効にする最も重要な場所の1つになります。BinanceもCoinbaseも認証アプリを通じたTOTPベースの2FAをサポートしており、すぐにオンにしない良い理由はありません。
認証コードの仕組みを確信できない場合は、TOTPとは?で仕組みを説明しています。
必要なもの
- Binance、Coinbase、または両方のアカウント
- 認証アプリ(Google Authenticator、Authy、1Password、または任意のTOTPアプリ)
Binanceでの2FA設定
1. Binanceにログインし、セキュリティ設定を開く
Binanceアカウントにサインインします。右上のプロフィールアイコンをクリックし、ドロップダウンからセキュリティを選択します。セキュリティ設定ページに直接移動することもできます。
2. 認証アプリオプションを探す
セキュリティ設定では、「認証アプリ」または「Binance/Google Authenticator」のセクションが表示されます。横にある有効化をクリックします。
Binanceは、メールまたはSMSでアイデンティティを最初に確認するよう促す場合があります(まだ設定していない場合)。
3. 認証アプリをインストール(まだの場合)
Binanceは認証アプリのインストールをリマインドします。すでにあれば、このステップをスキップします。
4. バックアップキーを保存
QRコードをスキャンする前に、Binanceはテキストベースの秘密鍵を表示します。これがあなたのバックアップです。書き留めるか、パスワードマネージャーに保存します。
これはBinanceがほとんどのサービスと異なる処理をするステップです。QRコードをスキャンする_前に_バックアップキーを表示し、後ではありません。スキップしないでください。認証アプリへのアクセスを失った場合、このキーは新しいデバイスでBinance 2FAを復元する方法です。
5. QRコードをスキャン
認証アプリを開き、新しいアカウントを追加し、Binanceが表示するQRコードをスキャンします。30秒ごとに6桁のコードを生成する新しいエントリーが表示されます。
6. 設定を確認
Binanceは、アカウントパスワード、メールまたはSMS確認コード、および認証アプリからの6桁コードを入力するよう求めます。3つすべてを入力し、送信をクリックします。
2FAは現在、Binanceアカウントでアクティブです。
Binance特有の注意点
- Binanceは、ログインだけでなく、出金にも認証コードを要求する場合がよくあります。これは良いことです。
- 2FAをリセットする必要がある場合(スマートフォン紛失、新しいデバイス)、Binanceにはセキュリティ保留期間を含むリセットプロセスがあり、通常出金が無効になる24〜48時間です。これは攻撃者を遅らせるための設計です。
- Binanceのセキュリティ設定でフィッシング防止コードの設定も検討してください。これはすべての正規のBinanceメールに表示されるカスタムフレーズで、本物のメールと偽物を区別できます。
Coinbaseでの2FA設定
1. Coinbaseにログインし、設定を開く
Coinbaseアカウントにサインインします。プロフィールアイコンをクリックし、設定に移動し、セキュリティタブを選択します。
2. 2FA方法を変更
Coinbaseは、ほとんどのアカウントでデフォルトでSMSベースの2FAを有効にします。認証アプリにアップグレードしたいと考えています。「二段階認証」セクションで、「認証アプリ」の横にある選択をクリックするか、確認方法を変更するオプションを探します。
3. 現在の方法で確認
Coinbaseは変更を確認するためSMSコードを送信します。続行するために入力します(はい、新しいものに切り替えるには古い方法が必要です)。
4. QRコードをスキャン
CoinbaseはQRコードを表示します。認証アプリを開き、新しいエントリーを追加し、スキャンします。
代わりにテキストキーが必要な場合は、「スキャンできない?」または「手動で入力」オプションを探します。これをバックアップとして、安全な場所に保存してください。
5. 確認コードを入力
Coinbaseに認証アプリからの6桁のコードを入力し、確認します。
完了。Coinbaseアカウントは現在、2FAに認証アプリを使用します。
Coinbase特有の注意点
- Coinbaseは、認証アプリに切り替えた後でも、特定の高リスクアクションにはSMSコードを送信する場合があります。これは、大口出金などのための彼らの追加の確認レイヤーです。
- 使用している場合、Coinbase Vaultは、時間遅延付きの独自の承認プロセスを持っています。メインアカウントの2FAはVaultの保護を代替しません。
- 認証アプリをなくした場合、Coinbaseにはアカウント回復プロセスがあります。これには待機期間とアイデンティティ確認が含まれます。これを回避するためにバックアップキーを保存してください。
仮想通貨2FAの一般的なアドバイス
唯一の2番目の要素としてSMSを使用しない
SIMスワッピング攻撃(誰かがキャリアを説得してあなたのスマートフォン番号を彼らのSIMカードに移行させる)は、実際の脅威です。仮想通貨保有者は特に標的にされています。2019年、ハッカーはSIMスワップを通じて、仮想通貨投資家から2,400万ドル以上を窃盗しました。認証アプリは、コードがデバイス上で生成され、スマートフォン番号に送信されないため、これに脆弱ではありません。
秘密を注意深くバックアップ
バックアップなしで2FAへのアクセスを失うことは、仮想通貨取引所ではほとんどの場所よりも悪いです。数週間かかる回復プロセスで、入ることのできないアカウントの後ろに資金がロックされる可能性があります。
2FAを設定する際、少なくとも2箇所に秘密鍵(QRコードのテキストバージョン)を保存してください。パスワードマネージャーと安全に保管された印刷コピーは、妥当なアプローチです。
専用の認証アプリを使用
一部の人は、他のアカウントとは別のアプリで仮想通貨2FAコードを保持することを好みます。考え方は、いずれかのアプリが何らかの方法で侵害された場合、金融アカウントは隔離されているということです。それが手間に見合う価値があるかどうかはあなたの脅威モデルに依存しますが、それはオプションです。
取引所が提供するすべてのセキュリティ機能を有効に
BinanceとCoinbaseは両方とも、基本的な2FAを超える追加の保護を持っています:
- 出金先アドレスのホワイトリスト登録(事前承認されたアドレスへの出金のみ許可)
- フィッシング防止コード(Binance)
- 時間遅延出金付きVault(Coinbase)
- デバイス管理(信頼されたデバイスの確認と削除)
- ログイン通知
すべてをオンにしましょう。実際のお金を保持するアカウントでは、利便性は後回しにすべきです。
クイックまとめ
Binance: セキュリティ設定 > 認証アプリ > バックアップキーを保存 > QRをスキャン > コード+メール/SMS+パスワードで確認。
Coinbase: 設定 > セキュリティ > SMSから認証アプリに切り替え > QRをスキャン > コードで確認。
両方とも数分かかります。利害関係を考えると、待つ理由はありません。
設定前にTOTPコードの仕組みを見たい場合は、2fa.zipを試してみてください。ブラウザ内で実行され、サーバーに何も保存せず、コミットする前にコードを感じることができます。