2013年セキュリティを改めてチェックしてみる(その1) Googleアカウントの2段階認証

昨年末から、自分のFacebookアカウントがアメリカから不正ログインされたり、Gmailアカウント乗っ取り事件が相次いだり、さらに妹がiPhoneを紛失、妻のケータイが壊れて連絡先全失したりとセキュリティについて考え直す必要に迫られ、年末年始にいろいろチェック、変更しました。

個人がクラウドを普通に利用し、スマホを経由して大量の情報を扱うようになっている現在、どういう被害が起こる可能性があるのかをまず考えてみました。

  1. ID、パスワード漏洩によって、クラウド上の連絡先等の情報を奪われる、SNS等で「なりすまし」される
  2. ID、パスワード漏洩によって、オンラインバンキングなどを利用され金融資産を奪われる
  3. スマホを紛失した際に、記録されていた情報を奪われる(上記1,2と同様の被害の可能性)

今回は、対策その1としてGoogleアカウントの二重認証について、備忘録的にpostしておきます。設定中、スクリーンショットを撮っていなかったので詳細はappbankさんの記事などを参照してください。一応、簡単ながら文章で流れを書きますと、Googleのページ右上のアカウントからセキュリティをクリック→2段階認証プロセス「編集」→設定を開始と進みます。

2013-01-17_22h14_39

ここで最初は携帯端末を設定し、自分の携帯電話のアドレスを登録すると「確認コード」が送られてきますので、それを入力します。ここで「信頼できるパソコンとして登録する」にチェックを入れると、とそのPCについては2段階認証のコード入力を30日間スキップできます。

ざっとこれで一応完了なのですが、iPhone、Androidユーザーならその下の「モバイルアプリケーション」を選択し、Google Authenticatorでワンタイムパスワード的な利用をするとよいでしょう。

先にApp StoreなどでGoogle Authenticatorをインストールしておきます。続いて先ほどの画面で「モバイルアプリケーション」の該当端末を選択します。僕の場合はiPhoneです。クリックするとQRコードが入ったページがポップアップするので、iPhoneアプリのGoogle Authenticatorを起動させ、スキャンします。読み取りが終わるとアプリにGoogleアカウント用の6桁の確認コードが表示されます。

2012-12-28_08h08_14

この確認コードは30秒毎にどんどん変わっていきます。なぜこれで認証できるのが不思議なんですが…

ga

さて、先ほどのQRコードの下に6桁の確認コードを入力して作業完了です。Google Authenticatorの認証システムを登録してしまうと、求めれられるのはこのワンタイム確認コードばかりになるので、先に携帯端末を登録したのはなんだったんだ?という思いが湧いてきます。こうなると怖いのはiPhoneを紛失することと、バッテリー切れですね。印刷用のバックアップコードもしっかり取っておきましょう。

なお、2段階認証に対応していないアプリケーション(iPhoneのGmailからしてそうなのですが)を使用する場合は、「アプリケーション固有のパスワード」という専用の16文字のパスワードを生成しなければならず、むしろそっちの方が面倒です。詳細はまたappbankさんの記事などをご覧ください。

面倒でないかといえば嘘になりますが、乗っ取られてからでは遅いのでGoogleアカウントを持っている方はぜひ2段階認証を導入しておきましょう。しかし、昨年末のアカウント乗っ取りでは2段階認証を設定している人も被害にあっているという話も聞いたので100%安心というわけではなさそうです。念のため…

本日の1曲 大谷幸「〈Generation〉~思春期を殺した少年の翼」 from OST 新機動戦記ガンダム W OPERATION 1

Comments