はじめに
先日、社内の掲示板に同僚のこんな書き込みがありました。
ヒヤリハットの共有です。
Google の個人アカウントがアタックされ、パスワードまで突破されてしまいました。2 段階認証により、アカウントの乗っ取りは回避できました。
随分前に設定した使い回しのパスワードだったので、パスワードを強化して対処しました。やっぱりよくないなと認識を改めました...。予期せぬタイミングで Google から SMS で Verification Code が送られてきてドキッとしました。
↓ 同僚が実際に受け取った通知メール
おお、こわーい!!😱
こうやって実際に「アタックを受けてパスワード認証を突破された」「2段階認証を設定していたので難を逃れた」という話を聞くと、昨今のセキュリティ問題が他人事でないことを感じますし、2段階認証もちゃんと機能することがよくわかります。
というわけで、僕も乗っ取られると怖そうなアカウントには一通り2段階認証を設定していくことにしました。
そもそも「2段階認証」とは?
IDとパスワードによる通常のログインのあとに、別途セキュリティコードを入力してログインを確定する方式のことです。
セキュリティコードはSMSやスマホアプリによってユーザーごとに毎回異なる値が提供されます。
そのため、ログイン時にユーザー本人の携帯やスマホを持っている人以外はログインできなくなります。
ちなみに、2段階認証は2FA(two-factor authentication)と略されることがあります。
image: https://www.google.com/landing/2step/?hl=ja#tab=how-it-works
2段階認証を設定していったWebサービス一覧
僕は以下のアカウントに2段階認証を設定していきました。
いずれも知らないうちに悪用されるとちょっと怖いサービスばかりです。
- Gmail
- GitHub
- Heroku
- AWS
- Evernote
- Dropbox
- Stripe
2段階認証を設定できなかったWebサービス
以下のWebサービスには2段階認証が用意されておらず、設定を諦めました(2018年10月現在)。
ユーザーとしてはできれば早く対応してもらいたいところです。
- はてな
- Paypal
- VALUE DOMAIN
- お名前.com
2段階認証で利用するモバイルアプリ
2段階認証で入力するセキュリティコードはSMS(ショートメッセージ)でスマホや携帯に送信することもできますが、スマホ用のアプリで確認することもできます。
僕はAuthyというアプリを使って、セキュリティコードを確認するようにしています。
Authyを使うとこんな感じでセキュリティコードをアプリ内で確認することができます。
まとめ
というわけで、このエントリでは乗っ取られると怖そうなアカウントに一通り2段階認証(2FA)を設定していった話を書いていきました。
繰り返しになりますが、アカウントの乗っ取りは他人事ではなく、いつ起きてもおかしくない問題です。
悪用されると被害が大きくなりそうなWebサービスに、IDとパスワードのみでログインしている場合は、今回紹介した2段階認証のようなセキュリティ対策の導入を検討してみてください。