2018年11月20日火曜日

もうパスワードだけでは限界! 安全な2段階認証の活用が必要な時代に

今の時代、Webサービスを利用する場合、パスワードだけでは不安な時代になりました。

ドコモの「ドコモオンラインショップ」では、不正アクセスされて、知らないうちに自分のアカウントでiPhone Xを買われ、代金が請求される被害が約1000件発生した事件がありました。

インターネットにはパスワードを見破る攻撃が様々あり、見破られることで、自分のID(アカウント)が不正利用されます。

また、ネット・サービスから、パスワードなどの個人情報流出が、相変わらず発生しています。原因は、企業側のコンピュータの管理の甘さや、Webサイトの作り方に問題があります。

このようにパスワードを見破られたり、パスワードが流出したりすると、不正に製品が購入されたり、パスワードが変更されたりと、様々な不正が可能になります。

これからは、パスワードに加え、セキュリティコードによる認証が必要な「2段階認証」の活用が大事です。なお、Webサービスによっては、「ワンタイムパスワード」と呼ばれることもあります。

私の場合、ネットショッピング、インターネットバンキング、メール関係などの重要なWebサービスは全て2段階認証にしています。

2段階認証、簡単に言えば、Webサービスのログイン時に、パスワードに加えて、スマホに送られる、セキュリティコードの入力が必要になるログイン方法です。

このセキュリティコードは、登録したスマホ(自分が持っているスマホ)に、SMS(シートメール)または専用の認証アプリで送られてきます。そのため、事前に自分のスマホの電話番号を登録する必要があります。

2段階認証を使うことで、万が一、パスワードが漏れても、他のサービスと同じパスワードを使っていても、大丈夫です。



なお、SMSで受け取った方が簡単な場合がありますので、スマホでSMSが受信可能になっているか事前に確認下さい。

《補足》SMS受信可能設定方法-ドコモの機種「SH-04F」の場合

①ドコモメールの初期画面で右下の[その他]をタップ
②メニューから[メール設定]をタップ
③メール設定のメニューから[ドコモメールサイト設定]をタップ
④ブラウザを開き、ドコモのお客さまサポートで、dアカウントのID、パスワードを入力
⑤各種メニューから[SMS拒否設定]をタップ
⑥拒否・受信設定で[全て受信する]をタップ


■■□―――――――――――――――――――――――――□■■

どうしてパスワードが見破られるのか? パスワードを狙う攻撃とは

■■□―――――――――――――――――――――――――□■■

①ブルートフォース攻撃

攻撃者が総当たりで数字や文字の組み合わせを試して、不正にログインしようとする攻撃です。なお、パスワードを見破る攻撃で、桁数の短いパスワード、例えば

”英字4桁のパスワードは約3秒”
”英字6桁のパスワードでも約37分”

で、簡単に見破られるそうです。これは、2008年当時の数値なので今はもっと短い時間で見破られます。

②辞書攻撃

辞書にある単語や、パスワードによく使われる文字列の集まりを試して、不正にログインしようとする攻撃です。過去に流出したパスワードは攻撃者の間で広く知られ活用されます。

③個人情報を使った攻撃

個人の属性からパスワードを推測する方法で、パスワードとして、誕生日やペットの名前を試してみるというもの。有名人がメールやSNSを盗み見られたりする被害に遭うのはこのパターン。

④パスワードリスト攻撃(不正に入手したパスワードを使って不正アクセス)

Webサイトから漏洩した情報を使って、別のWebサイトに不正ログインしようとする攻撃。どんなに複雑なパスワードを設定しても、パスワードを使い回していると、1回の漏洩ですべてのWebサイトが不正ログインされてしまいます。

⑤ウイルスやフィッシング詐欺によるパスワード漏洩

インターネットバンキングの不正送金の多くでは、ウイルスが悪用されています。また、フィッシング詐欺も多発しており、犯人は、金融機関をかたる偽メールを送信し、ネットバンキングのWebサイトに見せかけた偽サイトにユーザーを誘導し、パスワードなどを入力させて盗みます。

⑥サイバー攻撃によるWebサイトからのパスワードなどの情報流出

Webサービスのサイトがセキュリティ面で問題があると、攻撃者のサイバー攻撃により、いともたやすく会員情報が流出します。


■■□――――――――――――――――――――――――――――□■■

【2段階認証】とは、Webサービスを安全に活用する最強の方法

■■□――――――――――――――――――――――――――――□■■

Webサービスの2段階認証は、①パスワードに加えて、②セキュリティコードの入力が必要になるログイン方法です。

*セキュリティコードは確認コードと呼ばれることもあります。

2段階認証時に使用する“セキュリティコード”は、ID・パスワードを入力後、登録したスマホに送られてきます。

なお、スマホに送られる方法は以下の2つの方法です。①のSMSの方が手順は簡単かもしれません。

①SMS(ショートメール)または指定のメールアドレスに送られてくる
②認証専用のアプリをインストールして“セキュリティコード”を確認する

なお、以上のことから、2段階認証時には、スマホの電話番号の登録が必要になります。

このように、登録した自分のスマホでないと「セキュリティコード」が発行できないため、他人が不正利用する危険性が極端に少なくなります。

また、この「セキュリティコード」は時間毎に変化するので、見破られることは基本的にありません。

万が一、他のサービスと同じパスワードを使っていても、パスワードが漏れても大丈夫な、Webサービスを安全に活用する最強の方法です。

「2段階認証」、とても面倒なようですが、画面操作により、次回以降セキュリティコードの入力を省略することができます。

なお、銀行のインターネットバンキングで使われる「ワンタイムパスワード」も、「2段階認証」と同じと考えて良いですね。パスワードを入力後に、一定時間ごとに変更されるパスワード「ワンタイムパスワード」を入力させる方法です。

重要なWebサービスの”2段階認証”は以下で紹介されています。2段階認証を実施する前に、まずは一読してから実施下さい。

 Amazon 2段階認証
 https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=202073820

 Yahoo! Japan 2段階認証 *Yahoo!の場合、ワンタイムパスワード(OTP)
 https://id.yahoo.co.jp/security/otp.html

 Google 2段階認証
 https://support.google.com/accounts/answer/185839?co=GENIE.Platform%3DDesktop&hl=ja

 Dropbox 2段階認証
 https://www.dropbox.com/ja/help/security/enable-two-step-verification

 Microsoft 2段階認証
 https://support.microsoft.com/ja-jp/help/12408/microsoft-account-how-to-use-two-step-verification

 ドコモ 2段階認証
 https://id.smt.docomo.ne.jp/src/utility/twostepauth_flow.html

以下は、Amazon、Yahoo! Japanの2段階認証方法です。




■■□―――――――――――――――――――□■■

2段階認証の注意すべき点は

■■□―――――――――――――――――――□■■

①2段階認証のセキュリティコードは、自分のスマホにSMS(ショートメール)または認証アプリで発行されます。そのため、事前に、SMSの受信を有効にするか、認証アプリをインストールする必要があります。

②パソコンやスマホで、端末毎・アプリ毎に、パスワードに加え「セキュリティコード」を入力しなければならないので不便になります。

ただし、「セキュリティコード」を入力する際に、次回からは[入力を不要にする]のような項目のチェックボックスを”オン”にして入力すると、次回からは入力が不要になります。

③2段階認証を活用しても、パソコンやスマホを紛失した場合、簡単に悪用されるので、パソコン立ち上げ時のログインパスワード入力や、スマホでの画面ロックは必ず活用ください。

④2段階認証にして不便な場合は、簡単な操作で2段階認証を無効にできます。ただし、この場合は、パスワードを安全なものにしてください。

2段階認証を使わない場合、パスワードは、少なくとも12文字以上で、英文字の小文字・大文字、数字を混合させ、定期的に更新します。


■■□―――――――――――――――――――□■■

重要なWebサービスの”2段階認証”実施手順

■■□―――――――――――――――――――□■■

以下に、私が実施した重要なWebサービスの”2段階認証の手順”を紹介しますので、参考にして下さい。

 Amazonの”2段階認証”活用方法
 http://lifesecurityup.blogspot.com/2017/06/amazon2.html

 Yahoo! Japanの”2段階認証”活用方法(ワンタイムパスワード)
 http://lifesecurityup.blogspot.com/2017/05/yahoo-japanid.html

 Googleの”2段階認証”活用方法
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Dropboxの”2段階認証”活用方法
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html

 Microsoftの”2段階認証”活用方法
 http://lifesecurityup.blogspot.jp/2015/08/microsoft2.html

 ドコモの”2段階認証”活用方法
 https://lifesecurityup.blogspot.com/2018/11/2.html