皆さん、2段階認証使ってますか?
2段階認証を突破する方法なんかも取りざたされたりしている昨今ではありますが、とはいえアカウントへの不正アクセスを防ぐためには有効にしておいた方がいい 2段階認証。
Google の 2段階認証はよく取り上げられますが、それ以外にも Apple、Amazon (AWS)、Dropbox、Evernote、Facebook、GitHub、Microsoft、Twitter、Yahoo! 等でもこの 2段階認証は使用できます。
で、一般的に 2段階認証というと、携帯電話の SMS やメール、あるいは自動応答の音声通話によってセキュリティコード (確認コード / 6桁程度の数字) を受け取る方式のイメージがあると思いますが、先に挙げたような主要な Web サービスは (一部を除いて)、Time-based One-time Password Algorithm (TOTP) に準拠したアプリケーションによるセキュリティコード生成に対応しています。
つまり、スマートフォンを使っているユーザーであれば、自分のスマートフォンにセキュリティコード生成用のアプリをインストールしておくことで、毎回メールなどでセキュリティコードを受け取らなくても、アプリを立ち上げて生成されたセキュリティコードを入力すればいいという運用にできます。
これでいちいち SMS を確認したりしなくて済みますし、もしスマートフォンの電波が入らないなんて場合でもセキュリティコードを入手することが可能になります。便利ですね。
Google Authenticator (Google 認証システム)
この TOTP 対応のセキュリティコード生成アプリとして、Google が無料で公開している 「Google Authenticator (Google 認証システム)」 があります。
Google のアプリなので Google の 2段階認証専用なのかなと思っている方も多いかもしれませんが、TOTP に準拠した 2段階認証システムを採用しているサービスであれば、すべてこの Google Authenticator でセキュリティコードを生成することが可能です。
ダウンロードは下記から。
ちなみに、Google の 2段階認証で Google Authenticator を使用する方法については下記のヘルプをご覧ください。
Google の場合は、2段階認証をはじめて有効にする際だけは、 SMS / 音声通話のいずれかによるセキュリティコードの受け取りが必要ですが、設定後に Google Authenticator アプリによる運用に切り替えることが可能です。
また、Google Authenticator 以外にも、TOTP 対応のセキュリティコード生成アプリはあります。例えば 「HDE OTP Generator」 などは、iPhone ユーザーさんであればオススメです。
Dropbox の2段階認証を Google 認証システムを使って有効にしてみる
今回は Dropbox の 2段階認証を、Google Authenticator を使用して設定してみます。まずは、事前に Google Authenticator を手元のスマートフォンにインストールしておきましょう。
Dropbox で 2段階認証を有効にする
まず最初に、Dropbox の Web サイトにログインし、右上に表示されている自分の名前から 「設定 (Settings)」 に進み、さらに 「セキュリティ (Security)」 を開きます。
するとそこに 2段階認証 (Two-step verification) の項目がありますので、有効 (Enable) にします。ウィザードが始まるので、次に進みましょう。
パスワードの再確認
2段階認証を有効にしようとすると、再度パスワードを聞かれますので入力して次へ進みます。
セキュリティコードの受け取り方法でアプリを選択
ここでセキュリティコードをどうやって受け取りますか? と聞かれるので、モバイルアプリ (Use a mobile app) を選択しましょう。
QR コードをアプリで読み込み
QR コードが表示されると思いますので、インストールしておいた Google Authenticator を立ち上げます。
はじめて Google Authenticator を使う場合はセットアップ画面になりますので、アカウントの追加に進みます。すでに Google のアカウントで使ってますよなんて場合は、右上のペンのアイコン (編集) をタップすると、一番下に 「+」 ボタン (新規アカウントの追加) が出てきますので、タップします。
すると 「バーコードをスキャン」 というメニューが出てきますのでタップします。
カメラが立ち上がるので、先ほど画面に表示された QR コードが枠の中央に入るようにかざすと、自動的にアカウントが追加され、6桁のセキュリティコードが表示されます。
その番号を、Dropbox サイトに表示されるセキュリティコード入力欄に入力しましょう。Google Authenticator で生成されたセキュリティコードは 30秒程度で再生成されるため、その間に手早く入力します。
念のため携帯電話を登録
最後に、万が一アカウントにアクセスできなくなった時に備えて、携帯電話の番号を登録します。
次へ進むと、16 桁のバックアップコードが表示されますので厳重保管しておきましょう。
ここで表示されるバックアップコードは、携帯電話を紛失したり、どうやってもセキュリティコードを受信できないですとか、アプリの不具合によってセキュリティコードが生成されない・・・・・・ なんて時に Dropbox に緊急アクセスするために必要です。
次へ進むと、2段階認証が有効になります。
これで完了。以降は、初めての PC などからログインしようとすると、2段階認証によってセキュリティコードの入力を求められますので、Google Authenticator を立ち上げ、セキュリティコードを取得し入力するという運用になります。
そんなに難しくないですよね。最近は Google をはじめとした様々なサービスに対してアカウント乗っ取り攻撃が活発化しています。
もちろん、パスワードを複数のサービスで使い回さないですとか、パスワードを堅牢なものにする、パスワードの管理を厳重にするといった基本的な対策は必要ですが、さらに対応しているサービスでは 2段階認証を有効にすることで、攻撃が成功する確率を下げることができますので、可能なら設定しておくとよいでしょう。
スマートフォンの時計は正確に合わせておきましょう
補足ですが、Google Authenticator など、TOTP に準拠したセキュリティコードの生成には現在時刻が使われるため、スマートフォンの時刻が正確でないといけません。まぁ時計がずれたままのスマートフォンを日常的に使ってる人っていないとは思いますが、気をつけましょう。
