インターネットバンキングが当たり前になり、近年では実店舗が無く基本的にインターネットで全てが完結するいわゆるネット銀行が増えてきました。
更には仮想通貨のように全ての取り引きがネット上という価値が当たり前になり、それと合わせて露呈したのがセキュリティの重要さ。
今あなたが持つ大切な資産・データを確実に守る為に、めんどくさがらずに2段階認証を今すぐ導入しましょう。
- 2段階認証の仕組み・使い方が分かる
- 2段階認証の設定ができる
- 2段階認証導入サービスが分かる
2段階認証って何?
そもそも2段階認証って何?という方もまだまだ多い時代。
2段階認証を知っているかどうか、使いこなせているかどうかで自分のセキュリティ意識が分かります。
2段階認証の解説
2段階認証は、通常Webサービスにログインする時に必要なIDとパスワードに加えもう一つリアルタイムで変動する文字列を入力する事でログインできる仕組みです。
簡単に言うとIDとパスワードだけではログインができず、合言葉を指定されるのでその合言葉も必要になるという事ですね。
この合言葉の事をワンタイムパスワード(OTP)といいます。
IDとパスワードを入力してね!
IDはコレ・・・パスワードはコレ・・・と!
ダメダメ!ワンタイムパスワードも言ってくれなくちゃ!
ワンタイムパスワードは123456だよ!
間違いなく本人だね!ログインしていいよ!
万が一IDとパスワードが何らかの理由で流出してしまった時もワンタイムパスワードが分からないとログインできず、不正ログインを防いでくれるサービスです。
仕組みはオンラインバンキングのトークンと同じ
察しの良い方はもうお気づきだと思いますが、実はこれ近年ほとんどの銀行が提供しているトークンと全く同じ仕組みです。
ゆうちょ銀行やソニー銀行のようにワンタイムパスワード生成機やトークンと呼ばれているハードウェア型のもの。
三菱UFJ銀行や三井住友銀行のようにスマホアプリのソフトウェア型のもの。
種類は銀行によって異なりますが、オンラインバンキングは不正ログインの温床となっていたので現在はほとんどの銀行で2段階認証が提供されています。
ハードウェアトークン型は万が一紛失してしまった時に再発行手数料が1,000円ぐらい掛かるのが地味に不便・・・。
合言葉の発行はGoogle Authenticatorが代行
しかしながら2段階認証を導入するにはそれ相応のコストが掛かるもの、Webサービスを提供する側にはとても大きな事です。
Webサービスだけじゃなく、認証に必要なスマホアプリまで開発してたらコストがかさみますよね。
そこであのGoogleがそれを代行してくれています、それがGoogle Authenticator。
僕らユーザーはスマホアプリをダウンロードすれば即使えるので、追加で何か購入したり費用を払う必要はありません。
Webサービス提供社は低コストで2段階認証を導入する事ができ、僕らユーザーは安全に資産やデータを管理する事ができます。
後述するけど2段階認証アプリはGoogle Authenticator以外の種類もあるよ!
なぜ2段階認証は安全なの?
ここでそもそもなぜ2段階認証を導入することが安全なのか、しっかり検証してみましょう!
認証コードは100万通り
Google Authenticatorで表示される認証コードは6桁の数字、つまり000000~999999までの100万通りです。
もうこの時点で手入力は無理ですよね、1回3秒掛かるとして一切飲まず食わず寝ることもせずにやっても約35日間掛かります。
普通に人間業じゃない・・・!
単純に入力項目が増える
Webの世界に関わらず、シンプルであればシンプルである程被害に合いやすいもの。
例えば泥棒に入ろうとする悪い人だって、鍵が掛かってる窓より鍵が空いている窓の方が侵入も楽ですよね?
同じ鍵でも上下2ヶ所施錠してある方が窓ガラスを割るにしても時間がかかりますよね?
これと同じ事です、単純に入力項目が増えるという事はそれだけ時間がかかります。
2段階認証があるだけで悪いことを考えてるやつも諦めてくれるかも!
30秒でリアルタイムに切り替わる認証コード
Google Authenticatorは認証コードが30秒に1回リアルタイムに切り替わり、逆に言えば不正ログインを試みる者は30秒以内に認証コードを解析して入力しなければなりません。
仮に1秒に1回入力を試せたとして、30秒で切り替わるので試せる回数は30回。
“その30秒間に合致する数字を100万通りの数字の組み合わせから見つけなければならない”って物凄いハードル高いですよね、少なくとも人力では不可能。
なおかつ単に100万通りだったら1から100万まで全部試せば良いんですが、30秒間でリセットされるのでどんなに高速で試しても30秒後には1からやり直しです。
「この認証コードは過去に入力したから除外できるな」という絞り込みが行なえないので非常に強固な認証手段といえます。
フィッシングサイトのようにユーザーに誤認させて入力した認証コードを取得する以外、全く情報が無い状態で2段階認証が突破されたという話を聞いたことがありません!
ID・パスワードと端末がセットで必要
これはもうちょっとアナログな不正ログインの方法ですが、従来ならIDとパスワードが書かれた紙を偶然入手すればそれだけで不正ログインし放題でした。
また、どこかのWebサービスで情報流出が起こった場合「きっと同じIDとパスワードを使いまわしているだろう」という予測の元、別のWebサービスへのログインを試みられる可能性もあります。
しかし2段階認証を導入していれば仮にIDとパスワードを使いまわしていても2段階認証の認証コードが分からなければログインは限りなく不可能です。
つまり、ID・パスワードと端末を分けて保管しておけば安全性が飛躍的に上がります。
ID・パスワードと2段階認証アプリを入れたスマホにロックをかけずに歩くような行為は自殺行為と言えるね・・・!
メジャーな2段階認証アプリの紹介
2段階認証はGoogle Authenticator以外にも様々なアプリがあり、アプリによって機能に多少の違いがあります。
正直Google Authenticatorはかゆい所に手が届いていないアプリなので、慣れてきたら移行を考えても良いでしょう(もちろん最初から違うアプリを使ってもOK)。
当然全て無料で利用できるので、とりあえずダウンロードして使ってみて最もしっくり来るものを選んでもいいかと思います。
Google Authenticator
まずは当記事で紹介するGoogle Authenticator。
Google Authenticatorは非常にシンプルで、手っ取り早く2段階認証を導入したい方には非常におすすめです。
ただし他社製アプリにあるようなバックアップ機能が無いので、機種変更時にかなり手間が掛かる点がマイナスポイント。
Google Authenticatorを標準のアプリとして推奨しているWebサービスも多いので、その影響か最も利用者が多いです(AppStoreでは2段階認証で一番上に表示されるのがGoogle Authenticator)。
Authy
非常に高機能なのがAuthy。
Google Authenticatorの場合、機種変更した時基本的に2段階認証の設定引き継ぎができません(iPhoneの場合iCloud経由で復元する事で設定移行ができる)。
対してAuthyはクラウドでのバックアップが可能で、機種変更時は新端末で情報をダウンロードするだけでOK。
ただしAuthyは全て英語のサービスなので、英語が苦手な方は2段階認証のやり方に十分慣れてからの使用を推奨します。
他にもAuthyはスマホだけじゃなくWindows/Mac OS上でも稼働するので、2段階認証をスマホ以外でも実現できます。
Microsoft Authenticator
Microsoft Authenticator言うまでもなく、WindowsやOfficeシリーズをリリースしているMicrosoftが製作している認証アプリです。
Google Authenticatorでできる事は全てMicrosoft Authenticatorでも実現可能、更に個人的にですがインターフェースがとても優れており、なんとなくかっこいいです笑。
もちろん世界のMicrosoft製なので日本語対応もばっちりOK!
Microsoftアカウントとの親和性も高いので、パソコンがWindowsユーザーの方は一見の価値あり。
MicrosoftのクラウドサービスであるOneDriveでのバックアップに対応している他、対象デバイスに限りますが指紋や顔認証でのセキュリティにも対応している為スマホを落としても流出の可能性が低くなります。
ちなみにGoogle Authenticatorと同じく、Microsoftアカウント無しでも利用可能です。
IIJ SmartKey
IIJ SmartKeyは日本通信(b-mobile)の次にMVNO(格安SIM)サービスを始めたあのIIJmioを運営するInternet Initiative Japan社の認証アプリです。
社名で分かる通り日本の会社なので、国産の認証アプリという事になりますね。
もちろんインターフェースは全て日本語なので英語に不安がある方でも使いやすいアプリになっています。
一応機種変更の為のエクスポート(書き出し)はできるんですが、件数が1件1件と面倒なので個人的にはAuthyやMicrosoft Authenticatorの方がおすすめです(それでもエクスポートできないGoogle Authenticatorよりマシなんですが・・・笑)。
Google Authenticatorで2段階認証を導入
2段階認証を使うと安全という事が分かりました、それでは実際に2段階認証を導入してみましょう!
ここでは最も普及率が高いGoogle Authenticatorで説明しますが、基本的な認証スキームはどのアプリでも同じです。
Google Authenticatorのダウンロード
まずはお手元のスマホ、タブレットにGoogle Authenticator Appをダウンロードします。
iOS、Androidの端末から利用可能です。
Google Authenticatorの設定
続いてGoogle Authenticatorの設定を行います。
2段階認証を設定するWebサービスを開きログインします。
まずはTwitterにログインした状態で2要素認証設定ページを開きます。
2要素認証欄の認証アプリ、これがGoogle Authenticatorを使ってログインする為の設定項目です。
チェックボックスをクリックします。
You can use a compatible authentication app to get an authentication code when you log in to Twitter. We’ll walk you through linking the app to your Twitter account.
(訳:認証アプリを使ってTwitterログイン時に認証コードを取得します。Twitterアカウントに認証アプリをリンクする方法を説明します。)
公式の案内を見たい方は本文内の「詳細はこちら」から確認して下さい。
始めるボタンをクリックして、Google Authenticatorを使用した2段階認証の設定を開始します。
改めてTwitterアカウントのパスワードを入力し、本当に2段階認証の設定を行っているのが本人である事の証明をします。
Open the authentication app on your mobile device to link it to your Twitter account. When the app prompts you, scan the following QR code with your camera.
(訳:スマートフォンで認証アプリ(Google Authenticator)を開き、Twitterアカウントとリンクします。認証アプリのカメラでQRコードを読み取ります。)
スマホ側でGoogle Authenticatorアプリを立ち上げ、QRコードを読み込みます。
読み込みが終わりTwitterの項目が表示されたらCan’t scan QR code?をクリックします。
万が一QRコードが読み込めない、もしくはカメラが搭載されていないデバイスでも登録できるように先程のQRコード情報を手入力で登録する為のシークレットキーです。
シークレットキーはQRコードの内容そのもの、正確に言うとこのシークレットキーをQRコード化した物が画面に表示されるQRコードです。
つまりシークレットキーをメモしておけば、万が一スマホを紛失したり壊れてしまった場合でも新しいスマホにこのシークレットキーを入力する事で2段階認証が再び利用できます。
逆に言えば、シークレットキーを控えておかなければ2段階認証を再実施する手段が無くなり基本的にログインできなくなります。
2段階認証シークレットキーは可能な限りそれが何か分からない状態で保管しておくことが好ましいです。
ID、パスワードと一緒に保管する事は絶対に避けて下さい、ログインして下さい!と言っているようなものです。
最後にGoogle Authenticatorに表示された6桁の認証コードを入力して認証します。
これでTwitterアカウントに2段階認証設定ができました!
バックアップコードの取得
Twitterの場合、万が一端末を無くしたり壊したりしてGoogle Authenticatorが使えない場合、1度だけ使用できるバックアップコードが用意されています。
このバックアップコードを控えておけば、1度だけログインしGoogle Authenticatorの2段階認証を解除して一時的にIDとパスワードのみでログインできる状態に設定ができます。
新しいスマホを購入したりスマホを修理したら再度Google Authenticatorの設定を行えばOKですね!
先述したようにバックアップコードは1度しか使用できないので、バックアップコードを利用してログインした場合は再度バックアップコードを発行しましょう。
バックアップコードは以下のページで取得する事ができます。
Google Authenticatorの2段階認証を手動で入力
続いてGoogle Authenticatorの2段階認証を手動登録する方法を解説します。
これは新規登録時はもちろん、先述したようにスマホを紛失したり壊してしまった場合に新しいスマホで引き継ぐ時にも使用しますので覚えておきましょう!
シークレットキーを手入力
先程QRコード読み込み時に行ったシークレットキーをGoogle Authenticatorアプリに入力していきます。
アカウント名はそれが何か分かるように名前をつけます。
キーは先程取得したシークレットキーです、Twitterは4桁毎にスペースが表示されていましたがスペースは無視されるので続けて入力してOK。
ただし大文字小文字は区別されるので、間違わないように注意して下さい。
時間ベースについてはそのままでOK、基本的に現在のワンタイムパスワードはほぼ全て時間ベース(一定時間で切り替わる)方式です。
大文字と小文字を区別せず入力すると全く別の認証コードが表示されてしまうので、必ず表示された通りに入力しよう!
Google Authenticator上から既に2段階認証を設定した項目を削除
次にGoogle Authenticator上に既に登録してある2段階認証を解除する方法です。
注意点として、必ずWebサービス側の2段階認証を解除してからGoogle Authenticatorの項目を削除して下さい。
誤ってGoogle Authenticatorの項目を先に削除してしまうと、バックアップコード等を利用してログインしなければならなくなります。
Webサービス側の解除
まずはWebサービス側から解除します。
Twitterの場合、2段階認証を設定したページから解除を実施できます。
認証アプリ欄のチェックボックスをクリックします。
オフにするをクリックする事で2段階認証を解除する事が可能。
重要な項目の操作なので再度確認が入り、もう1度オフにするをクリックすれば完全に解除されます。
以降、再度設定するまでIDとパスワードのみのログインになります。
Google Authenticator側の項目削除
続いてスマホのGoogle Authenticatorから項目を削除します。
Webサービス側で2段階認証を解除すると、再度設定する時は認証コード情報が全て変わるのでWebサービス側の解除=Google Authenticator上の項目の削除と覚えておきましょう。
項目の削除は右上の鉛筆アイコンから行えます。
鉛筆アイコンをタップすると編集モードになるので、この状態で削除したい項目にチェックをつけます。
すると画面一番下に削除ボタンが現れそこで削除可能。
見れば分かる通り、編集モードで順番の入れ替えやアカウント名の編集等も行えます。
繰り返しになるけどGoogle Authenticator上で項目削除するのは一番最後!必ずWebサービス側の2段階認証を解除してから行おう!
Google Authenticatorは複数の端末で読み込み可能
Google Authenticatorを使って2段階認証をする時、バックアップとしてシークレットキーの保管を行いました。
が、実はGoogle AuthenticatorでQRコードを読み込む時複数のスマホで読み込む事ができます。
もちろん読み込む内容は全く一緒なので、例えば2台のスマホで順番に読み取っても画面に表示される認証コードは全く同じ。
例えば余っている古いスマホがある場合、メモを取る変わりにもう1台追加でQRコードを読むことでメモ代わりにする事もできます。
2段階認証を提供しているWebサービス
ここで執筆時時点で認証アプリを用いた2段階認証に対応しているWebサービスをいくつか挙げてみます。
なお同じ2段階認証でもSMSやメール配信による2段階認証のみのサービスは省いてあります。
SNS
EC(ネット通販)サイト
- Amazon
- Yahoo!ショッピング(Yahoo!Japan ID)
- BASE
チャットツール
テクニカルサービス
- エックスサーバー
- ConoHa
- さくらインターネット
- Qiita(技術情報共有サービス)
- GitHub(ソフトウェア開発プラットフォーム)
- freee(会計ソフトサービス)
- Evernote
- Dropbox
- Adobe
- Synology(NAS)
- Qnap(NAS)
エンタメサービス
- Nintendoアカウント
- ネクソンID(オンラインゲーム)
- ガンホーID(オンラインゲーム)
金融系サービス
- bitFlyer(仮想通貨)
- Coincheck(仮想通貨)
- Zaif(仮想通貨)
- DMM Bitcoin(仮想通貨)
- GMOコイン(仮想通貨)
- bitbank(仮想通貨)
- PayPal(決済サービス)
- WealthNavi(個人資産運用サービス)
こうしてみると外資系・金融系サービスは積極的に取り入れてるけど、日系企業はまだまだだね・・・
ていうか日本の企業のセキュリティ意識やばい・・・!
Google Authenticatorで2段階認証 まとめ
Google Authenticatorを利用した2段階認証は、短時間でセキュリティレベルを一気に向上できる手段です。
それもスマホさえ持っていれば誰でも簡単に導入できるので、自分の資産やデータを守る為には必ず設定しておきたいサービス。
2018年頃に起こった仮想通貨の流出騒動で2段階認証は一気に知名度をあげましたが、まだまだ対応していないサービスも多いのが現状です。
だからこそ、Webサービス側で導入しているのであれば僕らユーザーも今から2段階認証を取り入れて慣れておきましょう!
コメント