アカウント保護の基礎

パスワード再利用は、一つのサービスの問題を複数アカウントの問題に変えます。固有のパスワードは連鎖を防ぎます。

パスワード再利用の危険は、別サービスの漏えいをこちらの暗号資産問題に変えてしまうことです。認証情報の使い回しが通る限り、高度な攻撃は不要です。

パスワードマネージャーが役立つのは、覚えやすさを唯一の基準にしなくて済むからです。メール、取引所、決済アプリで同じ記憶パスワードを使わなくなるだけで保護は大きく上がります。

2FAは盗まれたパスワードとアカウント侵害の間にもう一段階を作ります。資金が入る前に有効化してこそ価値が高いです。

二要素認証は単なる追加コードではありません。バックアップコード、機種変更時の流れ、SIMスワップや弱いメール回復で突破されないかまで含めて考える必要があります。

設定の最適なタイミングは残高が大きくなる前です。ログイン障害の最中だと、人は早く入れる方法を選びがちで、その回復経路自体が新しい弱点になります。

アドレスホワイトリスト、端末承認、ログイン通知は急いだ盗難を難しくします。地味ですが、その地味さが攻撃者を遅らせます。

出金ホワイトリスト、端末承認、ログイン通知は摩擦の道具です。目的は美しさではなく、すでに一部アクセスを取った攻撃者を、こちらが気づける速度まで遅らせることです。

定期見直しが重要なのも同じ理由です。侵害は最初、小さく見えることが多いのです。見慣れない端末、新しいAPIキー、変更された出金先、知らない都市からのログインなどです。

最近のログイン、承認済み端末、APIキー、出金設定を定期的に確認します。小さな違和感を緊急事態になる前に拾えます。

実際に続けられる見直し頻度を決めることが大切です。多くの初心者には月1回で十分ですが、最近のセッション、承認済み端末、古いホワイトリスト、バックアップコード、使っていないAPI権限まで見る必要があります。

古い権限は古いパスワードと同じように扱います。なぜ残っているのか説明できない権限は、「まだ問題が起きていない」という理由だけで残すべきではありません。