パスワード漏洩に備える!Authyで2段階認証を導入しよう【守る力編03】

ITリテラシー

この記事では、2段階認証と2段階認証ソフトであるAuthyというものについて紹介します。

2段階認証というのは耳にしたことがあるのではないでしょうか。

「重要っぽいのは分かるけど、何をどうすれば分からない」という方はぜひこの記事をご覧ください。

この記事を読めば、次のことが分かります。

  • 2段階認証についての基礎知識
  • Authyを使って2段階認証をする方法(図解!)

この記事の内容を実践して、不正アクセスから身を守っていきましょう!

2段階認証とは

2段階認証とは、1つ目の認証に加えて2つ目の認証を使うことを言います。

例えば、1つ目の認証がパスワード認証だった場合

  • パスワード認証+指紋認証
  • パスワード認証+顔認証
  • パスワード認証+パスワード認証

といったものは全て2段階認証と言えます。

ご察しの通り、2段階認証の組み合わせは様々なバリエーションがあります。

はっきり言って不十分です。

理由は次の通り

  1. 通信を盗聴される可能性がある
  2. キーロガーにより盗まれる可能性がある
  3. フォームに入力した値が盗まれる可能性がある

理由1については、まぁ分かるけど、って感じだと思います。

問題は理由2と理由3です。

   

理由2のキーロガーとは、キーボードで入力した情報を全て取得するソフトウェアのことです。これがパソコンに仕込まれていた場合、キーボードの入力はすべて盗聴されます。

そんな危険なソフト、そうそうお目にかからない、と思うかもしれませんが、タイピング練習ソフトなんて一種のキーロガーです。キーボードの入力を全て監視しているという点では同じですよね。

さらに、キーボード入力の監視は簡単に実装できるため、ソフトウェアにしれっと組み込まれると誰も気づけません。

打ち込んだパスワードが気づかない間に盗まれている可能性は十分にあります。

 

理由3の入力した値が盗まれる可能性について。

ブラウザのログインフォームなどに入力した情報は、例えばchromeの拡張機能などから全て取得可能です。

chrome拡張機能の場合、最も権限が低い「権限なし」の拡張機能でも、ログインフォームの入力文字(パスワード含む)は取得可能です。

参考→ブラウザ拡張の権限でどこまで(悪いことを)できるのか?とその対策【デモあり】

最も低い権限の拡張機能でフォームの値の取得は可能なので、何かの拍子にパスワードが漏洩してもおかしくはありません。

 

以上のような理由から2段階認証の導入をオススメします。

蛇足ですが、ウィルス対策ソフトが守ってくれることに期待するというのはやめた方が良いでしょう。
安全ベルトを着けずに綱渡りをするようなものなので、素直に2段階認証という安全ベルトを付けましょう。

2つ目の認証はタイムベースド・ワンタイムパスワードが最適

認証方法の1つにタイムベースド・ワンタイムパスワード(Time-Based One-Time Password 略してTOTP)というものがあります。

いきなり横文字が長くて申し訳ないですが、1つずつ説明します。

  • ワンタイムパスワードとは
    ワンタイムパスワードとは一度限り有効なパスワードです。
    何らかの手段で1度限り有効なパスワードを発行し、それを入力することで認証されます。
    SMS認証なら使ったことがあるかもしれませんが、SMS認証もワンタイムパスワードの1種です。
  • タイムベースドって?
    時刻によって変わる、という意味になります。

つまり、時刻によって有効なパスワードが切り替わるのがタイムベースド・ワンタイムパスワード(以下、TOTP)ということです。

そのパスワードはTOTPソフトによって生成されます。
そうなると、認証できるのはTOTPソフトの持ち主のみになります。

SMS認証は所有認証に近いと言えなくないですが、通信や通知の傍受、SIMの偽装などの脆弱性が付きまとい、あまりオススメできません。

TOTPは実質、所有認証です。だからオススメできます。

 

Authyとは

AuthyとはTOTP生成ソフトです。

TOTPというだけで安心できる点が多いですが、Authyはさらに次のような特徴があります。

  • Authy自身にロックをかけることが可能
  • クラウド対応でデバイス間同期(機種変更時もログインし直すだけ)
  • アカウント数など制限がなく、しかも無料

もう使わない理由がないですね。

デメリットがあるとすれば、日本語対応できてないことくらいです。

ちなみに提供元はTwilioというアメリカの大手の会社で、日本ではKDDIウェブコミュニケーションズが代理店を担っています。社会的に信用できるのも嬉しいところ。

ダウンロードとインストール

パソコン編

Authyにはブラウザ拡張機能版とデスクトップ版があります。

このブログではbitwardenをchrome拡張機能として導入したこともあり、リスク分散のため、Authyはデスクトップ版を導入します。

  1. Download Authy へ移動
  2. 使っているOSに合わせてダウンロードします。WindowsであればWindows 64bitで良いでしょう(古いWindows PC だと32bit推奨です)

  3. ダウンロードが終わったら起動
    1. 左側の項目から「JAPAN(+81)」を選びます
    2. 右側の項目に電話番号を入力します
    3. 続いてメールアドレスも入力して、Nextを押します

       
  4. 次の画面でSMSを選択します

     
  5. 入力した電話番号に届いたSMS番号を入力します

     
  6. 次のような画面が表示されていればインストール終了です!

初期設定

ここで初期設定を済ませておきましょう。

スマホからダウンロードとインストールを先にやった方は、パソコン編に入る前にスマホでAuthyの初期設定を行ってください。

ちなみに、いくつかパスワードを設定しますが、パスワード(管理ソフト)がダメになったときに備えるのが2段階認証なので、Authyのパスワードは頭の中に記憶しましょう。
パスワード管理ソフトに記憶させてはいけません。

  1. SettingsからGeneralを開きます
  2. パソコン版のAuthyにロックをかける場合はMaster Passwordを有効化します
    (モバイルノートユーザなら必須設定ですが、デスクPCなどの場合はしなくても良いでしょう)
    設定前
     
  3. 前の画面に戻り、Accountsを選択します
  4. バックアップパスワードを有効化します(超重要)
    このパスワードがデバイス間で同期する(クラウドに保存する)ために必要です。
    設定前
    設定後
     
  5. 前の画面に戻り、Devicesを開きます
  6. 複数のデバイスでの使用を有効化します(重要)
    表示がEnableになっている場合はクリックします。

    最初からDisableが表示されている場合は、何もしなくて問題ありません。

以上が初期設定になります。

スマホ編

今回はAndroidを用いて説明いたします。
iPhoneでも同様の手順で可能だと思いますが、適宜読み替えお願いします。

  1. Play Store (iPhoneユーザはApp Store)でauthyを検索します
  2. ダウンロード・インストールを行い、開くをタップ
  3. 国コード(画像1, 2)と電話番号(3)を入力し、OKを選択します

     
  4. 次に、今回はパソコンで初期設定してあることを前提にUSE EXISTING DEVICEを選択します
    (もしスマホから登録を始めている場合、SMSを選択しましょう。届いたSMSを入力すれば認証が完了します)
  5. すでにログイン済みのデバイスで、OKと入力後Confirm Deviceをクリックすると認証が完了します
    もしエラーが起こった場合は、初期設定編の「複数のデバイスでの使用を有効化」ができてない可能性があります。
  6. 以下の画面のようになれば、インストール完了です

もし、スマホが最初の設定デバイスだった場合、このページをスクロールアップして初期設定へ進んでください。

2台目以降のデバイスでの初期設定

スマホの画面を例に説明していきます。2台目のデバイスがパソコンなどである場合は適宜読み替えてください。

  1. Settingsを開きます
  2. App Protection (パソコンならMaster Passwordという表示)を設定します
    これでAuthyを開くときに認証を求められるようになります。

    スマートフォンの場合、次の2種類を選べます。指紋認証はオプションです。
    • PIN (4桁の数字で認証)
    • PIN + Fingerprint (指紋認証)
  3. バックアップを有効化します(超重要)
    ACCOUNTSに移動し、Backupsをタップ、

    頭の中に記憶しているパスワードを入力し、ENABLE BACKUPSをタップします。

以上で2台目以降のデバイスも、自動的にクラウドで同期するようになります。

基本的な使い方

今回はAmazonアカウントを例に、2段階認証を設定していきます。

  1. Amazonのアカウントサービスのページへアクセスします
  2. ログインとセキュリティに移動
  3. 2段階認証の編集
  4. 2段階認証の説明ページが出てくるので、特に何もせず次のページへ
  5. 認証アプリを選択(重要)してバーコードを表示させます
  6. スマホ・PCともに、真ん中の+ボタン、または右上のオプションから「Add Account」を選択し、次の画面へ進みます
  7. スマホの場合、QRコード読み取りができます

    パソコンの場合、直接文字列をコピー&ペーストしてAuthyに入力します
  8. スキャンが正常に完了したら、SAVEで保存します
    (アカウント名やロゴは後からでも自由に設定できます)
  9. 30秒ごとに切り替わる数字のトークンが表示されたら、Amazonに今目の前で確認できる数字を入力して続行します
  10. 確認ページが出るので、有効にするを選択します
    今回は、このブラウザーで~のオプションにチェックを入れず、このあと動作確認をすることにします。
  11. 以下のようなページが表示され、2段階認証が有効化されます

2段階認証の設定は終了ですが、このあと実際に使えるかテストしてみましょう。

2段階認証ができているか確かめる

一度ログアウトし、再度ログインして2段階認証が表示されるか確かめます。

ログアウトするには、右上のアカウント&リストからログアウトを選択します。

再度ログインしようとすると、以下のように2段階認証を求められます。

適当に入れた数値を入れると、コードが有効ではないとアクセスを遮断してくれます。

Authyに表示されている数値を入力し、毎回聞かれるのも煩わしいので「このブラウザで~」のオプションも入れてログインしましょう。

以上で2段階認証の動作確認は終了です。

まとめ

  • 2段階認証にはタイムベースド・ワンタイムパスワード(TOTP)が適する
  • TOTPソフトの所有者のみが生成されたパスワードを知ることができる
  • Authyならさらに、アプリのロック・クラウドでの同期が可能で、無料で使える

以上のことを紹介した後、実際にAuthyのダウンロード・インストール方法と簡単な使い方を解説しました。

bitwardenなどのパスワード管理ソフトなどと併用することで、煩わされることなく、安心してスマホやパソコンを使うことができます。
記事ををご覧になられた方の力に少しでもなれてたら幸いです。

万人にお勧めできるパスワード管理ソフトbitwardenに関する記事はこちら。

コメント

タイトルとURLをコピーしました