WEBサービスの2段階認証

こんにちは、ヨークです。

突然ですが、皆さんはWEBサービスにログインする際に、2段階認証を利用していますか?

 

最近は、ID、パスワードが漏れるまたは、パスワードが簡単なため破られて不正にログインされる事例が後を絶ちません。

対策としてパスワードを英数文字記号を使って複雑でランダムな文字列にすればよいのですが、複雑になればなるほどおぼえることが難しくなります。

2段階認証は、ID、パスワードの確認に追加して、さらにセキュリティコードによる確認を行うことで、より安全にログインするための仕組みです。

 

2段階認証を利用するには予めシステムが対応していることはもちろんですが、セキュリティコードを発行するための方法を設定する必要があります。

発行方法は大きく分けて3つあり、電話やSMSでセキュリティコードを受け取る方法、スマホアプリからセキュリティコードを受け取る方法です。
このようにして発行されたセキュリティコードは、発行のたびに違うセキュリティコードになるため、たとえパスワードが漏れても不正にログインされる可能性が低くなります。

 

3つ目は、GmailやDropBoxなどの一部のシステムで対応しているUSBセキュリティーキーを使った2段階認証です。
USBセキュリティーキーを使うとセキュリティコードの代わりにUSBに接続してボタンを押すだけで、セキュリティコード認証を行えます。ただし、現在はシステムが対応していてもブラウザが対応していないと使用できません。(現在はGoogleChormeのみで使用可能)

 

代表的なUSBセキュリティーキーとしてYubico社が開発したYubiKeyがあります。
YubiKeyはいくつかモデルがあるのですが、エントリーモデルなら4000円くらいで手に入ります。

また、上位のモデルではYubiKey内に固有の文字列を登録しておき、USB接続したPCへ登録した文字列を出力する機能があります。
そのため、予めランダムな文字列を登録しておき、その文字列に自分が決めたルール(例えばシステムごとに決まった6文字+YubiKey内固有文字列)をパスワードをシステムに登録しておけば、完全なランダム文字列とまではいきませんが、おぼえやすく、複雑なパスワードで利用することができます。
これならUSBセキュリティーキーを使った2段階認証に対応していないシステムをはじめ、

普通のログインパスワードにも利用が可能です。(基本的にすべてのブラウザで使用可能です)
以上、2段階認証とUSBセキュリティーキーを紹介しましたが、
これを機会に利用しているWEBサービスのパスワードを見直してみてはいかがでしょうか?
サービスを安全に利用するため、パスワードは定期的な変更をおすすめしますが、
2段階認証が利用可能なら利用することを強くおすすめします。