コグノスケ

GitHubの2FA手法としてSMSが非推奨となった

タイトルのとおりなのですがGitHubアカウントの2FA（二要素認証、2 Factor Authentication）で使える手法として、SMSが非推奨になりました。最近、GitHubではこんな警告が出ます。

GitHubの2FA手法に関する警告

検索用に文字起こししておくと、

Please configure another 2FA method to reduce your risk of permanent account lockout.
We strongly recommend against SMS as it is prone to fraud and delivery may be unreliable
depending on your region.

（適当訳）
アカウントが永久にロックアウトされる危険性を減らすため、他の2FA手法を設定してください。
SMSは詐欺にあいやすく地域によっては配送が信用できない場合があるので、SMSはお勧めしません。
（strongly recommend against itなので「利用を避けることを推奨する」くらい強い意味かも？）

SMSが非推奨になった理由は詳しく書かれていませんが、携帯電話番号乗っ取り被害（スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは？ - ITmedia NEWS）を受けてのものでしょう。

SMS以外の2FA手法は下記のものがあります。

GitHubで使用可能な2FA手法の一覧

Authenticator appが最もお手軽でしょう。スマホに過剰に依存するのはあまり好きじゃないですけど。Authenticator appはスマホの紛失や破損で設定が消し飛ぶと2FAできなくなる弱点がありますから、設定のバックアップが取れるアプリを選択すると良いと思います。

例えばGoogle Authenticatorなら[アカウントを移行] - [アカウントのエクスポート]とするとQRコードが表示され、別のスマホに設定を丸ごと移行可能です。アカウントエクスポート用のQRコードがバックアップデータ代わりになりそうですが、時間制限とかあるんですかね？？

Security keysはどうかと調べてみると、1つ1万円〜2万円（YubiKey 5 NFC, YubiKey 5 bio）となかなかのお値段でした。これも紛失や破損に備えるなら2つ購入した方が良いでしょうから、GitHubの2FAのために2万円〜4万円払えるか？というとうーん、嫌ですね……。

しばらくはAuthenticator appで運用したいと思います。