みなさん。こんにちは。now3のアドレスでブログを更新している大東市の税理士・社労士の今西 学です。
先日、井ノ上陽一先生の「ひとり税理士のIT仕事術」の出版記念セミナーに参加した旨の記事を記載しました。
そのセミナーのときにも話が少しあったのですが、パソコンで特定のオンラインサービスを使うときに、二段階認証に設定し、セキュリティをあげる方法があります。
今回、いくつかのサービスで二段階認証の設定を行ってみました。
1.二段階認証とは?
二段階認証とは、一般的には、ログインするときのパスワードとは別に、もう一つセキュリティのハードルを加える方法です。
具体的には、一般的にパスワードがあっていれば、ログインできます。しかし、二段階認証では、ログインしたときに、ログインすると同時に、あらかじめ設定しておいたスマートフォンのSMSに毎回変わるコードが送られてきます。
そして、当該サービスに入るには、パスワードでログインした後に、再度そのSMSで送付されてきたコードを入力するよう指示があります。そのコードを正しく入力しないと、そのサービスに入れない仕組みが一般的です。
もう少し正確にいうと、私も使っているセキュリティソフトを販売しているカスペルスキーのサイトに、次のような記述があります。
2段階認証の根底にあるのは、ログインするには何かを「知って」いて、何かを「持って」いなければならない、という論理です。ですから、たとえば会社の仮想プライベートネットワーク(VPN)にアクセスするには、パスワードとUSBスティックが必要になります。
我々が使っているオンラインサービスの二段階認証の設定をすれば、パスワードだけでなく、SMSが送られてくるスマートフォンが、ログインするために、必要となります。
例えばFacebook、悪意の第三者が私のパスワードを仮に見破っても、私のスマートフォンが手元に持っていなければ、私のFacebookには、ログインできないことになります。
なぜなら、先に述べたように、パスワードを入力しログインボタンを押したと同時に私のスマートフォンのSMSに送られてくる数字の認証コードが、ログインするのに必要だからです。
ログインするためには、そのSMSが送られてくるスマートフォンを、パスワードととは別に、手元に保有してないとログイン出来ないからです。
2.二段階認証を設定して、それほど手間もかからなかったし、面倒でもないのがわかった
本日現在、オンラインサービスで、二段階認証の設定を私自らが行い、設定が完了したのは、Facebook、Google、Dropbox、Evernote、のサービスとApple IDです。
Facebookのみ、過去にアカウントを乗っ取られ、友達のメンバーに勝手にメッセージを送られたりしたので、その時から二段階認証していました。それ以外のサービスとApple IDは、昨日から本日にかけて二段階認証を設定しました。
今まで、Facebook以外、二段階認証にしていなかったのは、理由があります。そのサービスにログインするのに、いちいちスマートフォンを取り出し、SMSで送られてきたコードを確認することが面倒だと思っていたからです。
その面倒を耐えないといけないほど、セキュリティの危険はないであろうと思っていたからです。
特によく使っているDropboxは、自分のパソコン内にあるDropboxのフォルダも、アクセスするたびに、コード入力が求められるのだろうか?それなら面倒すぎることになるのでは?と思っていました。
(実際は二段階認証しても、そうはなりません。パソコン内のDropboxのフォルダのファイルへは従来通り、クリックすればアクセスできます。)
実際の上記、各サービスの二段階認証の設定方法は、別のサイトで検索していただく(手抜きで申し訳ありません。)として、二段階認証してみて気付いたことがいくつかあります。
その一つが、思っていたのと違い、二段階認証は、それほど面倒ではないということです。すぐにスマートフォンのSMSに認証コードが送られてくるので、パスワードを入れる画面の次に、そのコードを入れさえすればいいのです。
また次の画像をみてください。Googleのログインに際しての2段階認証のプロセスです。
上記は、私が使うタブレットにて、スマートフォン(私の場合にはiPhone SE)のSMSに送られてきたコードの入力を要求しているの画面です。
ここにSMSに送られてきたコードを入れると、ログイン出来ます。加えて今回は、それとは別に見ていただきたいところがあります。
画像の「完了」という文字の下に、「このパソコンでは次回から表示しない」という欄「チェック」を入れている箇所です。
これにチェックを入れて、認証コードを入れてログインすると、次回からこのタブレットからのログインは、二段階認証せずとも、ログイン出来るようになります。
このタブレットからのログインは、不正なログインでないことが明らかゆえ、パスワードだけの入力でログイン出来る設定にするからです。
もし、このタブレットを自宅や事務所から持ち出さないと決めているとしましょう。(泥棒が入る可能性がまったくないとは言えませんが)
そうであるならこのタブレットからのGoogleサービスへのログインは、二段階認証がかからないようにしても問題ないと言えるでしょう。
他のサービスも考え方は大体同じです。自分のパソコン等からのログインについては、パソコンを認証させることで、二段階認証をしなくてすむ設定に出来ることが多いようです。
仮に悪意の第三者がどこかのパソコン等にて、ログインしようとすれば、その悪意の第三者に対しては、二段階認証がかかり、認証コードの入力が出来ないため、ログインできません。
一方、自分の事務所限定で使うパソコンからは、二段階認証がかかる前のように、ログイン出来るように設定することも可能だということです。
(外出するときにも頻繁に使うパソコンには、二段階設定をかけていた方が、紛失のリスクを考えると安全かもしれません。)
3.二段階認証のコードが送られてくるスマートフォンを紛失した場合
では、二段階認証のコードが送られてくるスマートフォンを紛失した場合はどうなるのでしょうか?
この場合、悪意の第三者がそのスマートフォンを見つけて手に入れ、例えばFacebookならFacebookのパスワードを見破ってしまうとしましょう。
そうなると、二段階目の認証コードもそのスマートフォンに送信されてしまうので、結果的にFacebookにログインされ、悪用されてしまう可能性があります。
その場合、悪意の第三者にパスワードを見破られるまでに、スマートフォンの回線を切ってしまう手しかないのかでしょうか?
なぜなら、自分でログインしても、二段階目の認証コードがスマートフォンが手元にないため、わからないであろうからです。
しかし、よく考えると、先ほど述べたように、自宅・事務所用のパソコンで、このパソコンからのログインは信頼できるものと設定していたとしましょう。
そうすれば、そのパソコンからは、二段階認証のハードルがかからないので、パスワードだけでログイン出来るはずです。
よって、ログインして、認証コードの送付先を別のスマートフォンに設定変更をする処置を至急とれば、悪意の第三者は二段階認証のコードを入手出来なくなります。そのため、仮にパスワードを見破ってもログイン出来なくなります。
また、もし自宅のパソコン等にて上記の画像で、「このパソコンでは次回から表示しない」と設定せず、認証コード入力が必要とする設定をしていれば、SMSに送られてくる認証コードがないとログイン出来ません。
その場合、スマートフォンが手元になくなってしまえば、永久にログインできないのでは?と思われるかもしれません。
ただ、”バックアップコード”といって、SMSが送られてくるスマートフォンを紛失したとき等に、それでもログイン出来るための認証コードを、あらかじめ10個程度与えられています。
パスワードとそのコードを使えば、EvernoteやDropboxではログイン出来ます。そしてログイン出来れば、先ほどのように、コード通知のSMSを別のスマートフォンに設定を変更すれば、二段階認証を破ってログインされることもなくなるはずです。
以上、二段階認証にトライしてみて、気付いたこと、感じたことをまとめてみました。
スマートフォンに送られてくる認証コードを入れるのは、それほど面倒でも、時間がかかるものでもありません。
また自宅・事務所限定で使うパソコンでは、パソコン自体を安全として認証することで、従来通りパスワードだけでログイン出来る方法もあることがわかりました。
そしてSMSが送られてくるスマートフォンが万が一紛失したときも、上記のようになんとか対応出来る方法があります。
みなさんも、セキュリティを守る必要の高いオンラインサービスを使う際には、ぜひ二段階認証を気軽に設定していただければと思います。
(二段階認証をしても絶対に破られないということではないそうですが、それでもその破られる確率は相当低くなり、安全性はかなり高くなるはずです。)
今西 学
最新記事 by 今西 学 (全て見る)
- 数万円で買えるBrotherのモノクロレーザー複合機を使用中。スモールビジネスに高価な複合機は不要では? - 2018年5月11日
- 携帯靴べらに鍵をセットすることで靴べらを使うことを習慣化できました。 - 2018年4月17日
- 『健康診断という「病」』という書籍で会社の定期健診の意味を改めて知る。 - 2018年4月12日