二段階認証を使おう
アカウント名(ユーザID)とパスワードのペアを使う認証方法ではIDやパスワードを盗んだり・推測することさえできればアカウントを正式に乗っ取れてしまう事実を改めて深刻に受け止めよう。
WIRED記者が考えるセキュリティ問題の記事で、Mat Honan氏は「もしGoogleのアカウントに2段階認証プロセスを設定していたならば、今回の事件は起こらなかっただろう」と公開しているくだりがある。 そして実際、パスワード戦争に挑むグーグルの記事の最後に、「WIREDにマット・ホーナンの記事が掲載された後、2日間で新たに25万人のユーザーが二段階認証の利用を申し込んだという。」が(急激な申込み数を示すグラフとともに)付記されている。
2段階認証の仕組み
二段階認証(2-step verification)とは、IDとパスワードの他に、時間や回数に応じて生成される「コード」も必要とする認証方法で、すでにGoogleやDropboxで導入されている。 また、エバーノートの不正アクセス事件で露呈した、パスワード・セキュリティの脆さにあるように、Evernoteも2段階認証を導入方向のようだ。 さらに、Appleも2段階認証の実施 two-step verification for Apple IDを発表し、英語圏を中心に利用可能になっている(2013年3月21日)。
二段階認証プロセスでは、まず携帯電話のメールアドレスを登録し、また自宅にある(または自分所有の)コンピュータを「信用する」に設定にしておく。 端末(パソコンや携帯)からの利用に際しては
- 原則、サービスを利用しようとログインする際に携帯に送られてくる6桁の数字コードを入力する
- アプリケーション固有のパスワード(ASP)を生成してパスコードとして使う
という2種類の方式がある。
2段階認証は、信頼する端末に対しては一度だけ行えばよく、利用する数字コードやアプリケーション固有パスワードを記憶する必要はない。
二段階認証を導入するとアカウント乗っ取りの可能性は大幅に減少する。 アカウントに不正アクセスするためには該当ユーザーのアカウント名(ユーザID)とパスワードとユーザー名だけでなく、コンピュータや携帯端末本体を手に入れる必要があるからだ。
Googleアカウントの2段階認証の例
Googleアカウントで2段階認証を設定した場合、次のような要領で2段階認証を行う。
- 数字コードによる二段階認証
-
サービスを要求する端末からサービス利用を利用するためのログイン時に、アカウント名(登録メールアドレスやユーザ名)とパスワードを入力すると、左図のようにコードを入力するように促される。
しばらくすると(たいてい10秒以内に)右図のように携帯電話にGoogleから6桁の数字コードが送られてくる(図では既にいくつものコードが送られている)。
この6桁の番号コードを,上左図の2段階プロセスのためのコード入力欄に6桁の数字コードを入力し、(コンピュータを信用して今後コード入力を求めないのであれば)「このパソコンでは今後、コード入力ウィンドウを表示しない」にチェックする。
チェックした場合、数字コードの入力は一度だけですむ。
また、この数字コードを覚えておく必要はない。
- アプリケーション固有のパスワード(ASP)による2重認証
-
詳しい方法はアプリケーション固有のパスワードを使用してログインするに記載されている。 Outlook、Apple Mail、Thunderbird などのメールクライアントや、最初に2段階認証を設定したWebブラウザ以外のブラウザ、携帯端末上のGmail、Googleカレンダーなどのアプリケーションを使うにはASPによる認証が必要である。
実際には、次のような手順を踏む。
- アカウント名と本来のパスワードを正しく入力したとき、「パスワードが正しくないと」いう旨の警告が表示されるので、ASPが必要であることがわかる。
-
このとき、[Googleアカウント設定]ページから、次のアプリケーションとサイトの認証ページにアクセスする(パスワードを入力して認証を受ける)。
- 「ステップ 1/2: 新しいアプリケーション固有のパスワードを生成する」の欄の名前として、【端末名】と【アプリケーション名】とがわかるように工夫して入力し(たとえば、iMac's Mail など)、[パスワードを生成]ボタンを押す。
-
右図のように、生成された利用している端末のアプリケーション用のパスワードを 1.のパスワード欄に入力する。
正しくログインできたことを確認して[完了ボタン]を押す。 入力した名前と日付とともに登録されてリストされる。
