【2段階認証】とは、Webサービスを安全に活用する最強の方法

今の時代、Webサービスを利用する場合、パスワードだけでは不安な時代になりました。

 

インターネットにはパスワードを見破る攻撃が様々あり、見破られることで、自分のID(アカウント)が不正利用されます。

 

また、ネット・サービスから、パスワードなどの個人情報流出が、相変わらず発生しています。原因は、企業側のコンピュータの管理の甘さや、Webサイトの作り方に問題があります。

 

このようにパスワードを見破られたり、パスワードが流出したりすると、不正に製品が購入されたり、パスワードが変更されたりと、様々な不正が可能になります。

 

これからは、パスワードに加え、セキュリティコードによる認証が必要な「2段階認証」の活用が大事です。なお、Webサービスによっては、「ワンタイムパスワード」と呼ばれることもあります。

 

2段階認証、簡単に言えば、Webサービスのログイン時に、パスワードに加えて、スマホに送られる、セキュリティコードの入力が必要になるログイン方法です。

 

このセキュリティコードは、登録したスマホ(自分が持っているスマホ)に、SMS(シートメール)または専用の認証アプリで送られてきます。そのため、事前に自分のスマホの電話番号を登録する必要があります。

 

2段階認証を使うことで、万が一、パスワードが漏れても、他のサービスと同じパスワードを使っていても、大丈夫です。

 

f:id:yougo-school:20181120153950p:plain

 

なお、SMSで受け取った方が簡単な場合がありますので、スマホでSMSが受信可能になっているか事前に確認下さい。

 

《補足》SMS受信可能設定方法-ドコモの機種「SH-04F」の場合

 

①ドコモメールの初期画面で右下の[その他]をタップ

②メニューから[メール設定]をタップ

③メール設定のメニューから[ドコモメールサイト設定]をタップ

④ブラウザを開き、ドコモのお客さまサポートで、dアカウントのID、パスワードを入力

⑤各種メニューから[SMS拒否設定]をタップ

⑥拒否・受信設定で[全て受信する]をタップ

 

■■□―――――――――――――――――――――――――□■■

どうしてパスワードが見破られるのか? パスワードを狙う攻撃とは

■■□―――――――――――――――――――――――――□■■

 

①ブルートフォース攻撃

攻撃者が総当たりで数字や文字の組み合わせを試して、不正にログインしようとする攻撃です。なお、パスワードを見破る攻撃で、桁数の短いパスワード、例えば

”英字4桁のパスワードは約3秒”

”英字6桁のパスワードでも約37分”

で、簡単に見破られるそうです。これは、2008年当時の数値なので今はもっと短い時間で見破られます。

 

②辞書攻撃

辞書にある単語や、パスワードによく使われる文字列の集まりを試して、不正にログインしようとする攻撃です。過去に流出したパスワードは攻撃者の間で広く知られ活用されます。

 

③個人情報を使った攻撃

個人の属性からパスワードを推測する方法で、パスワードとして、誕生日やペットの名前を試してみるというもの。有名人がメールやSNSを盗み見られたりする被害に遭うのはこのパターン。

 

④パスワードリスト攻撃(不正に入手したパスワードを使って不正アクセス)

Webサイトから漏洩した情報を使って、別のWebサイトに不正ログインしようとする攻撃。どんなに複雑なパスワードを設定しても、パスワードを使い回していると、1回の漏洩ですべてのWebサイトが不正ログインされてしまいます。

 

⑤ウイルスやフィッシング詐欺によるパスワード漏洩

インターネットバンキングの不正送金の多くでは、ウイルスが悪用されています。また、フィッシング詐欺も多発しており、犯人は、金融機関をかたる偽メールを送信し、ネットバンキングのWebサイトに見せかけた偽サイトにユーザーを誘導し、パスワードなどを入力させて盗みます。

 

⑥サイバー攻撃によるWebサイトからのパスワードなどの情報流出

Webサービスのサイトがセキュリティ面で問題があると、攻撃者のサイバー攻撃により、いともたやすく会員情報が流出します。

 

■■□――――――――――――――――――――――――――――□■■

【2段階認証】とは、Webサービスを安全に活用する最強の方法

■■□――――――――――――――――――――――――――――□■■

 

Webサービスの2段階認証は、①パスワードに加えて、②セキュリティコードの入力が必要になるログイン方法です。

 

*セキュリティコードは確認コードと呼ばれることもあります。

 

2段階認証時に使用する“セキュリティコード”は、ID・パスワードを入力後、登録したスマホに送られてきます。

 

なお、スマホに送られる方法は以下の2つの方法です。①のSMSの方が手順は簡単かもしれません。

 

①SMS(ショートメール)または指定のメールアドレスに送られてくる

②認証専用のアプリをインストールして“セキュリティコード”を確認する

 

なお、以上のことから、2段階認証時には、スマホの電話番号の登録が必要になります。

 

このように、登録した自分のスマホでないと「セキュリティコード」が発行できないため、他人が不正利用する危険性が極端に少なくなります。

 

また、この「セキュリティコード」は時間毎に変化するので、見破られることは基本的にありません。

 

万が一、他のサービスと同じパスワードを使っていても、パスワードが漏れても大丈夫な、Webサービスを安全に活用する最強の方法です。

 

「2段階認証」、とても面倒なようですが、画面操作により、次回以降セキュリティコードの入力を省略することができます。

 

なお、銀行のインターネットバンキングで使われる「ワンタイムパスワード」も、「2段階認証」と同じと考えて良いですね。パスワードを入力後に、一定時間ごとに変更されるパスワード「ワンタイムパスワード」を入力させる方法です。

 

重要なWebサービスの”2段階認証”は以下で紹介されています。2段階認証を実施する前に、まずは一読してから実施下さい。

 

Amazon 2段階認証

https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=202073820

 

Yahoo! Japan 2段階認証 *Yahoo!の場合、ワンタイムパスワード(OTP)

https://id.yahoo.co.jp/security/otp.html

 

Google 2段階認証

https://support.google.com/accounts/answer/185839?co=GENIE.Platform%3DDesktop&hl=ja

 

Dropbox 2段階認証

https://www.dropbox.com/ja/help/security/enable-two-step-verification

 

Microsoft 2段階認証

https://support.microsoft.com/ja-jp/help/12408/microsoft-account-how-to-use-two-step-verification

 

ドコモ 2段階認証

https://id.smt.docomo.ne.jp/src/utility/twostepauth_flow.html

 

以下は、Amazon、Yahoo! Japanの2段階認証方法です。

f:id:yougo-school:20181120154032p:plain

 

f:id:yougo-school:20181120154040p:plain

 

■■□―――――――――――――――――――□■■

2段階認証の注意すべき点は

■■□―――――――――――――――――――□■■

 

①2段階認証のセキュリティコードは、自分のスマホにSMS(ショートメール)または認証アプリで発行されます。そのため、事前に、SMSの受信を有効にするか、認証アプリをインストールする必要があります。

 

②パソコンやスマホで、端末毎・アプリ毎に、パスワードに加え「セキュリティコード」を入力しなければならないので不便になります。

 

ただし、「セキュリティコード」を入力する際に、次回からは[入力を不要にする]のような項目のチェックボックスを”オン”にして入力すると、次回からは入力が不要になります。

 

③2段階認証を活用しても、パソコンやスマホを紛失した場合、簡単に悪用されるので、パソコン立ち上げ時のログインパスワード入力や、スマホでの画面ロックは必ず活用ください。

 

④2段階認証にして不便な場合は、簡単な操作で2段階認証を無効にできます。ただし、この場合は、パスワードを安全なものにしてください。

 

2段階認証を使わない場合、パスワードは、少なくとも12文字以上で、英文字の小文字・大文字、数字を混合させ、定期的に更新します。

 

■■□―――――――――――――――――――□■■

重要なWebサービスの”2段階認証”実施手順

■■□―――――――――――――――――――□■■

 

以下に、私が実施した重要なWebサービスの”2段階認証の手順”を紹介しますので、参考にして下さい。

 

Amazonの”2段階認証”活用方法

https://lifesecurityup.blogspot.com/2017/06/amazon2.html

 

Yahoo! Japanの”2段階認証”活用方法(ワンタイムパスワード)

https://lifesecurityup.blogspot.com/2017/05/yahoo-japanid.html

 

Googleの”2段階認証”活用方法

https://lifesecurityup.blogspot.com/2014/09/500google2.html

 

Dropboxの”2段階認証”活用方法

https://lifesecurityup.blogspot.com/2014/10/dropboxid.html

 

Microsoftの”2段階認証”活用方法

https://lifesecurityup.blogspot.jp/2015/08/microsoft2.html

 

ドコモの”2段階認証”活用方法

https://lifesecurityup.blogspot.com/2018/11/2.html

 

f:id:yougo-school:20180506173846j:plain