最近の投稿
- Gemini for Home でのエアコン操作2026-06-12複数命令の認識 Google Home から Gemini for Home になって、Google […]
- HTTP2 の導入2026-06-08HTTP2 Bomb のセキュリティ対応が apache2 – […]
- apache2 と php を mpm_event + php-fpm に変更2026-06-07HTTP2 のセキュリティホールが見つかったらしいが、HTTP2を使うためには mpm_event と […]
- Coreutils for Window いいね2026-06-03
HomeAssistant の CPU 負荷2026-05-29Dockerのプロセス負荷 サーバのプロセス負荷が先週から高くなり、色々と機能追加で遊んでいる […]
二階建て新幹線MAXで横浜に移動
二階だと車内販売大変やと思ってたら、カート用のエレベーターあるのか。
カムロボ在庫切れ
在庫切れの噂もあったし、無いと思っていたカムロボがAmazonで見つかったし、発注したら、後で在庫切れの連絡が届く。
2段階認証のすすめ
子供が、PlayStationのTwitterアカウントが乗っ取られたニュースを 教えてくれた。こういった乗っ取り事件では、利用者のアカウントがパスワード攻撃で 乗っ取られたはず。
こういう事例を目にした時にこそ、2段階認証に移行してもらおう。
アカウント攻撃を受けるのは、有名人とか管理者だけ…と思っていると、自分のアカウントが盗まれて他人のアカウントに「オレオレ、電子マネー買ってその暗証コード教えて!」なんてメッセージを送られちゃう。
用語の解説
2段階認証 – パスワードだけだと、パスワード推測攻撃、辞書攻撃、ブルートフォース攻撃などの方法でパスワードがやぶられる可能性がある。このため、ワンタイムパスワードを併用する2段階認証で強固な認証にする。多要素認証と呼ぶ場合もある。
パスワード推測攻撃 – 個人情報をパスワードに使っている人に対し、SNSの個人情報から調べた、電話番号とか生年月日の組み合わせでの攻撃。芸能人のアカウント・ハックはほとんどコレ。
辞書攻撃(1) – 英単語の組み合わせをパスワードにしている人に対して、英単語辞書の組み合わせとか、よく使われる安易なパスワードの辞書を使って攻撃する方法。安易なパスワード設定のサーバを、プログラムを使って攻撃する時の手法。
辞書攻撃(2) – 他のWebシステムに侵入して入手したID,パスワードを辞書として、他のWebシステムへの侵入を試みる方法。1つのシステムが侵入された時に、他のシステムも同じID,パスワードで侵入される可能性があるので、同じパスワードを使いまわさないこと。
ブルートフォースアタック – 単純訳すると、荒くれ者のチカラ技-攻撃。すべての文字の組み合わせを試す方法。パスワード文字数が少ないと、時間をかければパスワードが見つかってしまう。2段階認証を使わなくても、英大文字,英小文字,数字,記号など使う文字の種類を増やし、長い文字列にするほど強力なパスワードにできる。ただし、パスワードを忘れてしまう可能性も高くなる。※乱数性の高い安全なパスワードを使いたい場合は、パスワード自動生成サイトなどが便利
ブルートフォースアタックなどは、一般的にインターネット越しの場合、複数回の失敗をすると一定時間接続を拒否される。このためそれなりの時間がかかる。しかし、クラッキングにより認証データを抜かれた場合は攻撃者のコンピュータ内で総攻撃が可能となる。こうなるとネット越しの攻撃よりもはるかに短い時間でパスワードがばれてしまう。
ワンタイムパスワード – 認証アプリの初期化の時の情報や時間情報から、アクセスするタイミングで変化する、使い捨てパスワード。最近は、通常のパスワードとワンタイムパスワードといった複数のパスワードを併用する2段階認証を行うべき。
認証方法 – 2段階認証のワンタイムパスワードを得る方法には、以下の方法がある。これらのパスワードの送信先は、携帯電話などであり、その人が確実に持っているからこそ信用できる。
SMSで送る – 携帯のショートメールで送ってもらう。携帯を盗まれればアカウントが盗まれる心配あり。
メール送る – メールアカウントを乗っ取られたら、アカウントが盗まれる心配あり。メールが届くまで時間がかかる場合には、不便。
専用機器で生成 – USBメモリのような機器の中に乱数パスワードの生成・認証が組み込まれている。
認証アプリで生成 – SMSやメールが使えない状態でも使える利点があるけど、携帯を移行するときに手順を間違えると使えなくなる心配あり。SMSやメールと併用するか、バックアップコードを残すのが無難。
認証アプリ – ワンタイムパスワードを生成するアプリ。Google authenticator とか Microsoft authenticator がおすすめ。
アプリケーションパスワード – 2段階認証が使えないソフトのために、そのソフト専用の長い乱数パスワードを生成したもの。
バックアップコード – 携帯の移行で認証アプリが使えなくなったりした時のための、緊急時のための乱数パスワード。バックアップコードを印刷して、他の人の目に触れない所に保管しておく。
Google は、スマホに Google アプリを入れておくと、2段階認証が求められるとワンタイムパスワードのような認証を Google アプリが行うことで、端末に「アカウントに接続しようとしていますか?」という表示がでるので「はい/いいえ」で答えるだけで済む。
設定方法
- スマホに、認証アプリをインストールする。(青字がスマホ側作業)
- 2段階認証の設定をするWebサイトにアクセスする。(黒字がパソコン側作業)
- 2段階認証機能をONにする(完了するには以下の作業が必要)。
- 認証アプリの初期化用のQRコードが表示されたら、
- スマホの認証アプリの”+”や”追加”ボタンを押し、表示された認証アプリ初期化用のQRコードを、認証アプリのQRコードリーダで読み込む。
- 認証アプリに表示されたワンタイムパスワードを、Webサイトに登録する。
- ついでに認証のための携帯電話の番号も登録しておく。
- 電話番号の登録時には、国際電話で使える電話番号で登録する必要がある。
- “日本”を選択して090-1234-5678で登録するか、
- 日本の表す国コード”+81″の後に、90-1234-5678で登録する。
使い方
- login時にID(もしくはメールアドレス)、パスワードを入力し、認証方法(SMS/メール/認証アプリ)を選ぶ。
- SMSなら、携帯電話に届くワンタイムパスワード、
- メールなら、登録したメールアドレスに届くワンタイムパスワード、
- 認証アプリなら、生成されたワンタイムパスワード
- を認証画面で入力する。
認証用のスマホを機種変・なくしたら
2段階認証のほとんどがスマホを使うことから、機種変や端末をなくすと大変。
- 2段階認証の認証アプリで、ワンタイムパスワードの種となる情報を端末に保存するタイプは、機種変の際には注意が必要。
- ワンタイムパスワードをSMSで送る場合、機種変や端末をなくして電話番号が変わると、ワンタイムパスワードを受け取れなくなる。
この場合は、バックアップコードでバックアップコードなどが必要となる。
wordpressに本格的に移行
wordpressのページは準備していたけど、細かい使い方が慣れないので、全面移行してなかった。でもMovableTypeのloginページでエラーが出るようになって、踏ん切りがついた。
ということで、トップページなどを移行する。ただ、他のCMSに移行する可能性もあるし、末端ページは /wp/ 配下に置き、トップページアクセスを /wp/ にリダイレクトすることにした。
ついに MovableType を卒業するか…
自宅サイトは、MovableType で運用してきたけど、 movabletype-opensource もメンテナンスされなくなってた。
MovableType の login エラー
だましだまし使っていようと思っていたけど、OS の更新をかけたら、
Got an error: Unescaped left brace in regex is illegal here in regex;
marked by <-- HERE in m/{{ <-- HERE support}}/?/
みたいなエラーで、login できなくなった。 ちょいと、ソースを触れば login できるようになるとは思うけど、 ここらが “MovableType卒業” の潮時か。
blog の変遷
自宅サイトは、2000年ぐらいから、BLOG を運用してるはずだけど、 最初は手書き。途中で HNS(Hyper Nikki System) に切り替えたけど、 途中で MovableType に移行(自宅は2008年に移行)。
最古記事は、2003年だけどこの記事は、HNS のデータを Export して Movable-Type に取り込んだもののはず。
WordPress に移行
ということで、以前から WordPress のページは準備していたので、 そっちに切り替えよう。
メールでの投稿とかの機能は切っちゃおう。
ということで、この記事が我が家の MovableType 最後かな。
@TohruSaitohのつぶやき(08/19)
- 08/19 写真を投稿しましたhttps://www.instagram.com/p/BX-FDfBhWYL/
- 08/16 RT @musicrobita: おはようございます。終戦記念日に。「もう二度と、戦争なんて起こすまい、もう二度と、武器なんて持つまい、孫子の代までこの体験を伝えよう。あの日、あの時代、生き延びた人々は、誰だってそんな感慨をもったものです」
https://t.co/hsamn… - 08/15 車を新しくして、ナビも新しくなり、起動画面を変えてみた。 https://twitter.com/TohruSaitoh/status/8…
- 08/15 RT @k_tokunaga: テザリングでネットを繋げて仕事をしようとしたら、目に飛び込んできた駄洒落。 https://twitter.com/k_tokunaga/status/89…
この記事は
ナビの駐車中車両の位置
車を新しくして、カーナビも心機一転。
T-CONNECT などのネットワーク接続でも、 Wi-Fiなどが使えるので、自宅WiFiに登録して おくことで、地図更新などもやりやすい。
ただ、意外と便利なのが iPhone で、 車のBluetoothでの接続が切れた場所での GPS情報から、「駐車中車両」の位置を iPhone のマップで確認できる機能。
んで、ふとこの機能を新しいナビで確認したら、 車の位置が変。おかしいとおもってたら、 自分の車のディーラーの位置。
手放した古い車の駐車位置が表示されてる。 どうしたら新しいナビの場所を覚えて くれるんだろうか。
ひとまず、「設定-マップ-駐車した場所を表示」を OFF にしておいた。車に乗って Bluetooth が 接続した時に、ON にすれば、治るかな…。
@TohruSaitohのつぶやき(08/09)
- 08/08 Twitterのビジネス活用…より個人アカに「御社の企業理念を伝えましょう」とメールが来た。理念か…「猫とまったり!」にしよう。
- 07/27 Macの内部のメールって、postfix がデフォルトで入ってたんだ….。crontab使えるんけ?って試してて、いい発見だった。
sakuraio
- 08/09 前の2つのTweetは、さくらインターネットの #sakuraio のハンズオンで作成の中で、自動的に Tweet されたものです。変なシステムにアカウント乗っ取りされたというものではありません。(^_^;
- 08/09 さくらインターネットのハンズオンで温度情報を取得中!ただ今の現地湿度は63.9%だよ。やっと正式サービスが始まりました、今後ともよろしくお願いします! #sakuraio #さくらインターネット
- 08/09 さくらインターネットのハンズオンで温度情報を取得中!ただ今の現地温度は25.9度だよ。やっと正式サービスが始まりました、今後ともよろしくお願いします! #sakuraio #さくらインターネット
- 08/09 福井高専電子情報にて #sakuraio のハンズオン。機材が台風5号の影響で、説明中に宅配にて届くという、台風トラブルで始まりました。(^_^;
カバンねこ
この記事は
@TohruSaitohのつぶやき(07/23)
- 07/23 ケガで打撲をした周辺の筋肉が硬くなってる。筋硬結とかいう症状らしい。Webで調べたけど、揉み解しはあまりよくないみたい。振動マッサージ機をあてるとかならいいのかな。
- 07/21 RT @hirotaku0508: ほんこれ麻生財務相「何といっても今、野党に政権を渡せんのです。北朝鮮で何やらきな臭い。東シナ海でも何だか怪しげな話がいっぱい出てきている真っ最中に、予算委員会で森友学園以外に話ないんですよ。おかしいと思わんですか。予算に関する質問は殆どな…
- 07/12 Surface pro4 のスタイラスペン、ほとんど使ってないんだけど気づいたら電池切れ。入れ替えようと、単4電池だしてきたら……「単6」だとぉ〜。
- 07/12 RT @KEUMAYA: 井上純一の新連載『キミのお金はどこに消えるのか?』。日中夫婦で語る『お金の話』です。日本の医療費はどこまで持つのか? 日本の借金は大丈夫なのか? 第一話無料で公開です! https://note.mu/keumaya/n/n0508889b9438 https://t.co/r324…
この記事は
Google 検索
