アメリカにはゴールデンウィークもこどもの日もありませんが、なんとなく今週は仕事がはかどらない関です。
みなさん、2016年5月5日が「World Password Day」だとご存知でしたか? 私は知りませんでしたが、Intel Security社(元のマカフィー社と言った方が通りが良いでしょうか?)が2013年に「5月第1木曜日」をWorld Password Dayにしようと宣言し、2016年は代理店のBig Monocleが中心になって、passwordday.orgでパスワードについての啓蒙活動が行われたようです。
World Password Dayのサイトを見ていくと、割りと当たり前のことが書いてあります。
- ステップ1: 強いパスワードを作ろう
- ステップ2: アカウントごとに違うパスワードを使おう
- ステップ3: パスワード管理ソフトを入手しよう
- ステップ4: 多要素認証をオンにしよう
おそらく多くの方に馴染みのないのは、ステップ4の「多要素認証 (Multi factor authentication)」ではないでしょうか。簡単に言うと、パスワードに加えて別の方法で本人を認証する方法で、「パスワード+もう一つの要素」が一般的なので「2要素認証」や「2段階認証」と呼ばれることが多いようです。
一般的な「もう一つの要素」は、次の2つでしょう。
- 携帯電話の(ショート)メッセージに送られる暗証番号
- Google Authenticatorなどの「認証アプリ」が生成する暗証番号
ショートメッセージの方式はとても簡単で、ログインのたびに携帯電話に暗証番号が送られてきますので、この番号をパスワード認証の後などに入力してログインします。
一方の認証アプリは、時間とともに変化する暗証番号(トークンキー)を発行するものです(企業ユーザーが自社ネットワークにアクセスするときに使う「SecurID」なども、同じ目的で使われるもので、最近はアプリ対応もしています)。
認証アプリは初期設定が多少面倒で、認証アプリをインストールした後に、アカウントごとに個別に設定をする必要があります(QRコード(2次元バーコード)をカメラで読み込むなど、スマートフォンを前提とした方法を使うことで、初期設定のハードルを下げようとしていますが)。
スマートフォン用の認証アプリとしては、Google Authenticatorが事実上の業界標準のようですが、IIJのSmartKeyというアプリもなかなか使い勝手が良さそうで、自分も一度使ってみようかと考えています(2段階認証のパスワード管理は「IIJ SmartKey」で決まり!Google認証システムより圧倒的に便利)
相次ぐパスワード流出に備える
つい最近も「Gmail・Hotmail・Yahoo!などから2億7200万件のメールアドレスとパスワードが流出したことが判明」という報道がありました。このパスワードで必ずしもすぐに不正アクセスされるわけではないようですが、少なくても今できるセキュリティ強化策は実施しておかない手はないかと思います。
少なくても、ここに挙げられている3社(Google、Microsoft、Yahoo!)のサービスは日本でも米国でも2要素認証に対応しています(ただし、2要素認証を「オン」にすると、対応していないメール・アプリでは認証エラーになってしまいます。この場合には「アプリ・パスワード」を使って、アプリごとに専用の複雑なパスワードを発行して対処します)。
多要素認証に対応する著名サービスをリストアップすると次のようになります(一部のサービスは、公式アプリを使うなど上記の2方式とは異なります)。なおリンク先は、日本語による設定方法のページになっています。
- Google (GmailやGoogle Appsなど)
- Microsoft (Hotmail、Outlookなど)
- Yahoo! Japan
- LINE
- Dropbox
- Evernote
5年前に8000万近いアカウント情報が不正アクセスされてサービス停止に追い込まれたソニーのPlayStation Networkも、とうとう2要素認証を導入する模様です(PlayStation Network getting two-factor authentication, Sony confirms)。
特にメール・サービスは、古いアプリを使っている場合は「アプリ・パスワード」を設定するのが面倒なのですが、単なるパスワード認証に比べてセキュリティが向上しますので、残り少ないゴールデンウィーク中に設定してしまってはいかがでしょうか?