セキュリティに興味のない人でも読んで欲しいパスワードの話

セキュリティに興味のない人でも読んで欲しいパスワードの話

ちょっと前の話ですが、OpenSSLというインターネット上のセキュリティ大黒柱みたいなソフトに重大な問題が発見されました。「人に教えられて使ってるだけ」という人でも無関心では居られない問題ですよ。

OpenSSLの問題とは?

自分の周りにも認識の薄い人が居たので端的に書くと

インターネットサイトに個人情報を入力するとき、「このサイトは○○を使ってるから安心してね」って書いてあって信じて入力したら、実は見える事が分かってしまった。

という事です。

それだけならままある話ですが、このソフト(?)の使用率が異様に高く、多くの有名サービスでも「安心の証」として使われているのが一番の問題でしょう。その結果、対象となるサイトでは「パスワードは盗まれたもの」として、パスワードを必ず変更するように警戒情報が出ています。

その対象となる大手サービスはこちらのサイトに詳しく載っていました

OpenSSL脆弱性の影響を受けるサイト一覧(随時更新中) | Hideo Saito | note


 

【パスワード変更などの対処が必要なサイト】

Facebook
Yahoo(Yahoo Mailを含む)
Instagram
Dropbox
Box
SoundCloud
Tumblr
GitHub

(続く)

注:2014/04/14時点の情報です

そうそうたる顔ぶれですね。さらにここにも上がらないマイナーサービスにもOpenSSLは使用されています。全てのサイトにバラバラのパスワードを使っている几帳面な人で無い限り、それこそ全てのサイトでパスワードを変更する必要があります。

という訳で2段階認証

OpenSSLの問題にかかわらず、パスワードという物自体が弱く、ちょっとした推測とカンで看破されてしまう可能性があります。そこでもう1段階の審査を設け、セキュリティを高める仕組みが「2段階認証」(Appleでは2ステップ確認と書かれています)

20140414_03実際使ってみると

  1. 普通にユーザー名とパスワードでログイン。
  2. 事前登録した自分の携帯に6桁のコードがSMSで届く
  3. それも入力できて初めて本人として認められる

という流れになります。
パスワードはたとえ盗まれても携帯まで盗まれるアホは居ないだろう、という原理ですね(?)。だれでも手持ちの携帯電話を使って簡単にセキュリティ強化できるので、積極的に申し込むべきです。

・・・と思いながら「サービスごとにアプリ増えそうで面倒臭いな~」と自分も敬遠していました。ところがGoogle Authenticatorというアプリ1本で全部OKだった事を知ったのが今回のこと(Google用には使ってたけど専用だとばかり)。AndroidではGoogle 認証システムというアプリになります。

Google Authenticator
カテゴリ: ユーティリティ

設定は数ステップ。

  1. Google Authenticatorを起動し、右上のペンアイコンをタップ。
    (写真は何件か登録が済んでいる画面です)
    20140414_01一番下に出る「+」を押した後「バーコードをスキャン」を選ぶ。
  2. カメラになったらiPhone側の準備は完了。
  3. 各Webサービスのパスワード変更画面から「2段階認証を有効にする」を選ぶ。
  4. 画面に2次元バーコードが表示されるので撮影(例はDropbox)。
    20140414_02うまく登録が終われば、サービスの名前付きで表示欄が増えます。

一度Google Authenticatorに登録すれば、次からはこの6桁数字をサービスに入力するだけで許可されるようになります(SMSは飛んでこなくなります)。この数字はタップするだけでクリップボードにコピーされるので、iPhoneブラウザでの認証であればペーストで入力OK。

これで手持ちのiPhoneがサービスに入るための重要な物理的鍵となりました。でもこのiPhoneをなくしたら?各サービスごとに方法はまちまちですが、主に

  • バックアップ用の第二の携帯電話を登録する
  • 回復用コードを発行しておいてそれを使う

が多いようです。回復用コードは二段階認証を有効にした直後に表示されますので、ネットに上げず人の手のわたらない所においておきましょう。まあこの二段階認証もいつか穴が発見されるかもしれません。

コメントを残す