子供が、PlayStationのTwitterアカウントが乗っ取られたニュースを 教えてくれた。こういった乗っ取り事件では、利用者のアカウントがパスワード攻撃で 乗っ取られたはず。

こういう事例を目にした時にこそ、2段階認証に移行してもらおう。

アカウント攻撃を受けるのは、有名人とか管理者だけ…と思っていると、自分のアカウントが盗まれて他人のアカウントに「オレオレ、電子マネー買ってその暗証コード教えて！」なんてメッセージを送られちゃう。

用語の解説

２段階認証 – パスワードだけだと、パスワード推測攻撃、辞書攻撃、ブルートフォース攻撃などの方法でパスワードがやぶられる可能性がある。このため、ワンタイムパスワードを併用する2段階認証で強固な認証にする。多要素認証と呼ぶ場合もある。

パスワード推測攻撃 – 個人情報をパスワードに使っている人に対し、SNSの個人情報から調べた、電話番号とか生年月日の組み合わせでの攻撃。芸能人のアカウント・ハックはほとんどコレ。

辞書攻撃(1) – 英単語の組み合わせをパスワードにしている人に対して、英単語辞書の組み合わせとか、よく使われる安易なパスワードの辞書を使って攻撃する方法。安易なパスワード設定のサーバを、プログラムを使って攻撃する時の手法。

辞書攻撃(2) – 他のWebシステムに侵入して入手したID,パスワードを辞書として、他のWebシステムへの侵入を試みる方法。1つのシステムが侵入された時に、他のシステムも同じID,パスワードで侵入される可能性があるので、同じパスワードを使いまわさないこと。

ブルートフォースアタック – 単純訳すると、荒くれ者のチカラ技-攻撃。すべての文字の組み合わせを試す方法。パスワード文字数が少ないと、時間をかければパスワードが見つかってしまう。2段階認証を使わなくても、英大文字,英小文字,数字,記号など使う文字の種類を増やし、長い文字列にするほど強力なパスワードにできる。ただし、パスワードを忘れてしまう可能性も高くなる。※乱数性の高い安全なパスワードを使いたい場合は、パスワード自動生成サイトなどが便利

ブルートフォースアタックなどは、一般的にインターネット越しの場合、複数回の失敗をすると一定時間接続を拒否される。このためそれなりの時間がかかる。しかし、クラッキングにより認証データを抜かれた場合は攻撃者のコンピュータ内で総攻撃が可能となる。こうなるとネット越しの攻撃よりもはるかに短い時間でパスワードがばれてしまう。

ワンタイムパスワード – 認証アプリの初期化の時の情報や時間情報から、アクセスするタイミングで変化する、使い捨てパスワード。最近は、通常のパスワードとワンタイムパスワードといった複数のパスワードを併用する2段階認証を行うべき。

認証方法 – 2段階認証のワンタイムパスワードを得る方法には、以下の方法がある。これらのパスワードの送信先は、携帯電話などであり、その人が確実に持っているからこそ信用できる。

SMSで送る – 携帯のショートメールで送ってもらう。携帯を盗まれればアカウントが盗まれる心配あり。

メール送る – メールアカウントを乗っ取られたら、アカウントが盗まれる心配あり。メールが届くまで時間がかかる場合には、不便。

専用機器で生成 – USBメモリのような機器の中に乱数パスワードの生成・認証が組み込まれている。

認証アプリで生成 – SMSやメールが使えない状態でも使える利点があるけど、携帯を移行するときに手順を間違えると使えなくなる心配あり。SMSやメールと併用するか、バックアップコードを残すのが無難。

認証アプリ – ワンタイムパスワードを生成するアプリ。Google authenticator とか Microsoft authenticator がおすすめ。

アプリケーションパスワード – 2段階認証が使えないソフトのために、そのソフト専用の長い乱数パスワードを生成したもの。

バックアップコード – 携帯の移行で認証アプリが使えなくなったりした時のための、緊急時のための乱数パスワード。バックアップコードを印刷して、他の人の目に触れない所に保管しておく。

Google は、スマホに Google アプリを入れておくと、2段階認証が求められるとワンタイムパスワードのような認証を Google アプリが行うことで、端末に「アカウントに接続しようとしていますか？」という表示がでるので「はい/いいえ」で答えるだけで済む。

設定方法

1. スマホに、認証アプリをインストールする。(青字がスマホ側作業)
2. 2段階認証の設定をするWebサイトにアクセスする。(黒字がパソコン側作業)
3. 2段階認証機能をONにする(完了するには以下の作業が必要)。
4. 認証アプリの初期化用のQRコードが表示されたら、
5. スマホの認証アプリの”+”や”追加”ボタンを押し、表示された認証アプリ初期化用のQRコードを、認証アプリのQRコードリーダで読み込む。
6. 認証アプリに表示されたワンタイムパスワードを、Webサイトに登録する。
7. ついでに認証のための携帯電話の番号も登録しておく。
   • 電話番号の登録時には、国際電話で使える電話番号で登録する必要がある。
   • “日本”を選択して090-1234-5678で登録するか、
   • 日本の表す国コード”+81″の後に、90-1234-5678で登録する。

使い方

1. login時にID(もしくはメールアドレス)、パスワードを入力し、認証方法(SMS/メール/認証アプリ)を選ぶ。
2. SMSなら、携帯電話に届くワンタイムパスワード、
3. メールなら、登録したメールアドレスに届くワンタイムパスワード、
4. 認証アプリなら、生成されたワンタイムパスワード
5. を認証画面で入力する。

認証用のスマホを機種変・なくしたら

2段階認証のほとんどがスマホを使うことから、機種変や端末をなくすと大変。

• 2段階認証の認証アプリで、ワンタイムパスワードの種となる情報を端末に保存するタイプは、機種変の際には注意が必要。
• ワンタイムパスワードをSMSで送る場合、機種変や端末をなくして電話番号が変わると、ワンタイムパスワードを受け取れなくなる。
  この場合は、バックアップコードでバックアップコードなどが必要となる。