インターネットが普及した現代。
SNSなどのソーシャルサービスやインターネット通販、各種サービスなどで利用する様々なアカウントを皆様も持っていらっしゃると思います。
そのアカウントとパスワードの管理はどのようにされていますか?
そして、2段階認証ってご存知ですか?
仕事の関係上、セキュリティ関連にも携わっている筆者から、セキュリティについて提言させていただきたいと思います。
注意
セキュリティに正解はないと思います。しかし、何かしらの対策をすることは間違いではありません。このブログも1つの例だと解釈していただき、参考になればと思います。
アカウントパスワードの管理について
皆様は、アカウントのパスワードってどのように管理されていますか?
一時期よく言われていたパースワードの管理は、
- アカウントごとにパスワードをわける
- パスワードは最低8文字以上(大文字と小文字、数字などを混ぜる)
- パスワードはこまめに変更する
などとされていました。
しかし今は「パスワードはこまめに変更する」ことは逆にリスクであると言われています。
そして覚えやくてもいいので長めのパスワードにすることを推奨しています。
利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
これには筆者自身もある程度、同感できます。
筆者の勤務先の従業員も、パスワードを付せんに書いてモニターに貼り付けている人もいましたし。。。
(当然、即刻指導します)
最新のパスワード管理術は固有のパスワードを設定する、ということです。
もちろん、アカウント(サイト)ごとに違うパスワードを設定したほうが良いでしょう。
本当にパスワードの対策だけで良いのか
実はパスワードの対策だけでは十分とは言えません。
今まで書いたパスワードの対策の意味は、第三者が推測しづらいパスワードを設定することに意味があります。
なにが十分では無いか、どこにリスクがあるのかと言うと、
- 総当たり攻撃に弱い
- そもそもパスワードが流出してしまった
などが考えられます。
総当たり攻撃とは
別名、ブルートフォースアタックといいます。
例えばダイヤル式の錠前をゼロからひとつずつ確かめていくような攻撃です。
総当たり攻撃の対処方法は、
例えばダイヤル式の錠前をゼロからひとつずつ確かめていくような攻撃です。
総当たり攻撃の対処方法は、
- パスワードの桁数を増やす
- 英語の大文字・小文字・数字・記号など、文字の種類を多数取り入れる
- 英語の単語などを使わない(推測されやすくなる)
などがあります。
パスワード管理において、一番厄介なリスクがパスワードの流出です。
自分のミスによるパスワード紛失のリスクもありますが、自分で対処できないのがサービスを提供している相手方からの流出事故です。
よくニュースにもなっていますが、個人情報の流出にともなう事故によって、アカウントの情報が抜き出されてしまうと厄介ですよね。
メースアドレス、パスワードなどが悪用されてしまうと、ほとんどのインターネットサービスに影響が出る恐れも考えられます。
そこで筆者がお勧めしたいのが2段階認証という方法です。
文字通り、2段階の認証をおこなってより厳格なセキュリティ対策を実現することが可能となります。
2段階認証ってなに?
通常はインターネットサービスにログインするときに、ID(メールアドレスなど)とパスワードを入力してログインすることが多いと思います。
これに2段階目のパスワードとして「ワンタイムパスワード(数十秒ごとに変わるパスワード)を入力する」というものです。
万が一パスワードなどが漏洩してしまっても、ワンタイムパスワードを使った認証が必須になるので、第三者が不正に情報にアクセスすることを防止できる仕組みです。また同じブラウザからの接続の場合は設定により2回目以降の2段階認証は省略されるため、普段使っているブラウザでの操作は面倒にはなりません。
2段階認証の種類
2段階認証は大きく分けて2種類の認証方法があります。
SMS(電話番号)による認証
ワンタイムパスワードをSMS(ショートメール)でスマートフォンに通知する認証方法です。
メリット
- 使用者側で事前に準備することは何もなく、簡単に導入できます。
デメリット
- SMSでワンタイムパスワードを通知する関係上、キャリアの電波が入る場所でないとSMSが届かなく、利用が難しくなります。
- SMSが届かない場合に対処できるよう、回避方法を用意しているところが多いですが、2重管理になってしまい面倒です。
- SIMハッキングの被害にあうと対応できない場合があります。
2段階認証用のアプリによる認証
ワンタイムパスワードを専用のアプリを使うことによって生成し認証に用いる方法です。
メリット
- SMSを使った認証方法と違い、SMSが届かないような場所でも利用することが可能です。
デメリット
- 2段階認証用のアプリをあらかじめセットアップしておかなければならず、面倒です。
筆者としてのお勧めは2段階認証用のアプリを用いた認証方式です。
最初のセットアップは若干煩雑な面もありますが、SMSが届かない場所でも使える安心感は大きいです。
特に海外旅行などでノートPCを持っていく場合はSMSは使えない場合も考えられますので、通信状況に左右されないアプリでの2段階認証が筆者にはマッチしています。
2段階認証用のアプリとは
2段階認証用のアプリも様々な種類がありますのでいくつか紹介させていただきます。
Google Authenticator
Google公式の2段階認証アプリです。
筆者もこのアプリを長く使っておりました。
Google Authenticatorの弱点はバックアップの設定がないことです。(2018年9月時点)
スマホの機種変更時などに、すべての2段階認証を再設定しなければなりません。
Google公式なので安心ですが、バックアップを取れないことは筆者にとって不便で、現在はメインでの使用をやめてしまいました。
Microsoft Authenticator
Microsoft公式の2段階認証アプリです。
筆者が現在利用している2段階認証アプリはこちらです。
Microsoftのアカウントをお持ちであれば、設定さえすれば自動でバックアップを行ってくれます。
その他の2段階認証アプリケーション
海外製になりますが、「Duo Mobile」「Authy」なども有名な2段階認証用のアプリです。
日本製のアプリもありますので紹介させていただきます。
まとめ
個人情報の流出問題など企業側の対策が求めらている昨今、そのサービスを利用している私たち自身もセキュリティの意識を高め、対策を講じなければいけない時代です。
すでに2段階認証を導入されている方も多いかと思いますが、SMS認証方式を利用されている方はSIMハッキングのリスクも少なからず出てきています。
これを機会にまだ2段階認証を導入していない方も含め、もう一度ご自身のセキュリティ対策を見つめなおしてみてください。