更新:2018/10/29
こんにちは。先日Gmailに「Google 2段階認証プロセスにより、お使いのアカウントへのログインがブロックされました。」という内容のメールが届きました。
何やら穏やかではない内容です。
このメールが届いたのは、メインで使っているEメールアドレスではなく、以前運用していたサイト用に取得したアドレス。(を転送したもの)
今日はまだ未設定の方には是非設定していただきたい2段階認証にについて紹介したいと思います。
Google 2段階認証プロセスにより、お使いのアカウントへのログインがブロックされました
メールを見る限り、どこかの誰かが勝手にログインしようとしていたようですね。
「このログインに心当たりがない場合は、第三者があなたのパスワードを不正に使用している可能性があります。」
このアカウントは普段使っていないですし、このタイミングでログインをしてもいないので不正アクセスが濃厚。
パスワードは常に狙われている
ブルートフォース(総当り)攻撃、辞書攻撃などパスワードの解析攻撃手法は様々。
しかも単純なパスワードの場合あっという間に解析されてしまいます。
以下はパスワードの文字種別解析実験の結果です。
数字や記号を組み合わせることにより解析が困難になる一方、パスワードが短いと1秒以下で解析されてしまうことがわかります。
英小文字
- 4桁・・・1秒以下
- 6桁・・・1秒以下
- 8桁・・・46秒
- 10桁・・・9時間
英大小+数字
- 4桁・・・1秒以下
- 6桁・・・13秒
- 8桁・・・13.5時間
- 10桁・・・6年
英大小+数字+記号
- 4桁・・・1秒以下
- 6桁・・・2分24秒
- 8桁・・・14日
- 10桁・・・341年
参考セキュリティ調査レポート Vol.3/パスワードの最大解読時間測定 【暗号強度別】 | サービス | ディアイティ
パスワードは英数記号の10桁推奨。しかし長い&サービスごとにパスワードを変更していると覚えるのも大変・・・。
そこで設定しておきたいのが二段階認証です。
サーバーを介すと当然ロスはしますが、短いパスワードの場合、複雑なパスワードを設定するより簡単に解析できてしまうので安易なパスワードは設定しないようにしましょう。
二段階認証の仕組み
パスワードだけだと限界がありますが、2段階認証を使用すると信頼度がアップします。
2段階認証では通常のパスワードに加え、携帯電話のテキスト メッセージや音声通話、モバイルアプリを介して送信されるコードで認証、パスワードが漏洩した場合でも携帯電話(スマホ)を持っていないと認証できないため、セキュリティが強化されます。
Gmail 2段階認証の設定方法
以下のURLの「使ってみる」から設定を進めます。
復旧オプションを設定していない場合は、「再設定用の電話番号」か「再設定用のメールアドレス」を設定。
通常のログインパスワードを入力、「次へ」
「開始」ボタンで設定を進めます。
テキストメッセージ、音声通話のいづれかからコードの取得方法を選びます。(今回はテキストメッセージを説明します。)
設定した電話番号にショートメールが届くので記載されているコードを入力。
「オンにする」を選択。
スマホの場合、アプリによる認証も可能。こちらのほうが手軽なので設定します。
あらかじめアプリはインストール
設定画面の「認証システムアプリ」を選択
お使いのスマートフォンを選んで「次へ」
バーコードが表示されるのでアプリから追加すると準備は完了です。
ログイン時にアプリに表示されるワンタイムパスワードを参照して入力するとログイン可能になります。
この番号は現在の時間とバーコード(秘密鍵)で生成しているもので、30秒毎に切り替わります。つまりバーコードを盗まれると突破されてしまうので絶対に他人には見せないようにしてください。
最後に
以上今回はGmail(Googleアカウント)の2段階認証についてでした。
認証アプリのスクリーンショットを見てわかるようにこの認証アプリはGoogleアカウントの他dropboxやFacebook、Evernote、AmazonなどTOTP規格(RFC 6238)を採用しているWebサービスで利用可能。
その他にも各社対応アプリも用意されています。
Googleも設定推奨ですが、Amazonなんかも先日マーケットプレイスのアカウントが乗っ取られる事案などありましたので是非二段階認証設定しておきたいですね。
