『米Yahoo 5億人の個人情報漏洩』
先月このようなショッキングな見出しがネット界隈を騒がせていました。驚くべきはこの5億人という想像もつかないような多くの人の個人情報が漏洩してしまったということです。
僕(@makotosaito_jp)はGmailを主に使用していますが、使い分けたい時はYahooメールも活用しています。圧倒的にGmailを使用する機会のほうが多いんですがこのニュースをふと思い出し
「そういえば、Yahooアカウントに2段階認証設定してなかったよな。」
と思いました。ワンタイムパスワードを使った2段階認証については以前このような記事を書きました。
ワンタイムパスワードとは?
ワンタイムパスワード (OTP / One Time Password) はログイン時に入力するユーザーIDとパスワードに加えて入力するための「使い捨てパスワード」の事です。ワンタイムパスワードは2段階認証 (2要素認証 / マルチファクター認証とも言う) のためのシステムではないようですが、2段階認証との組み合わせでよく使われているシステムです。
数十秒~数分という一定時間で切り替わりその場限り有効となります。一度使ったら同じパスワードを使用することは出来ません。このワンタイムパスワードは万が一ワンタイムパスワードが漏えいしてもその都度変わる「使い捨てパスワード」なので従来のパスワードに比べ安全性が大幅にアップしています。
ネットバンキングで主に使われている印象のシステムですが、ネットバンキング以外でもGoogle認証システム (Google Authenticator) やYahoo!JAPAN ID、オンラインゲームというように幅広く使われています。
多くのWEBサービス・アプリでなりすまし・アカウントの乗っ取りに有効という事で推奨されています。
つまり2段階認証を導入するということは通常のパスワードにプラスして2段階認証用のパスワードも一致しないとログインできないということです。たとえ通常のパスワードが漏洩したとしても2段階認証用のパスワードは30秒ほどの「使い捨てパスワード」なのでそのパスワードを知らない限りはログインできないということになります。
またワンタイムパスワードを知られたとしても使い捨てで毎回違うパスワードなので第三者はログインできません。
ワンタイムパスワードの受け取り方
2段階認証でワンタイムパスワードを受け取る方法は3つあります。
1つ目はトークンで受け取るという方法。予め用意された小型端末にワンタイムパスワードが表示されるのでそれをログイン時に使用します。
▼こちらはジャパンネット銀行のトークン。ネットバンクやオンラインゲームで提供されることが多いようです。
2つ目はメールで受け取るという方法。「ezweb.ne.jp」「docomo.ne.jp」といったキャリアメールなら設定することができますが、GmailやYahooメールなどのフリーメールアドレスでは使えないということが多いです。
格安SIMなどのスマホを使っている場合はキャリアメールが使えないこともあるので違う方法で受け取らなくてはいけません。
そのような環境の方でも使えるのがアプリでワンタイムパスワードを受け取るという方3つ目の法です。Google認証システムというGoogleが提供しているアプリを使った2段階認証などがあります。
僕もGoogle認証システムを使っていて、現在複数のサービスの2段階認証を一元管理しています。
「Yahoo!JAPAN」ワンタイムパスワード設定
Yahooアカウントにワンタイムパスワードを設定するためのアプリに「Yahoo!JAPAN ワンタイムパスワード」がありますが、Google認証システムで一元管理したかったのでGoogle認証システムで設定することにします。
Yahoo!JAPANのワンタイムパスワード設定ページにアクセス。Yahooアカウントにログイン→「今すぐ設定する」を選択します。
設定の開始「メール」「アプリ」とあります。今回はもちろん「アプリ」を選択です。
秘密の質問と答えを設定します。
次にアプリのインストールを促されますが、おそらく下のバーコードをGoogle認証システムにて読み込むと感知するかと思います。
スマホ操作に切り替えGoogle認証システムを起動。アップデートで最近操作画面が少し変わりましたが気にせず「赤色+」→「バーコードをスキャン」をクリック。
あらら。「QRコードを解釈できません。」と出てきました。
バーコードの読み取りがうまくいかない場合(手動で設定)
という項目が下にあったのでそこにある「登録コード」を入力したら設定することができました。2段階認証を複数管理している場合は「アカウント名」だけだとわかりずらいのでYahoo!JAPANとかにすると使いやすいかと思います。
あとは一番下アプリの設定確認に、Google認証システムに表示された「ワンタイムパスワード」を入力→「認証」をクリック。
続いて復帰用メールアドレスの選択です。そのままでよければ「設定」。違うアドレスを設定したいなら追加することができます。
復帰用メールアドレスで設定したメールアドレスに15分ほど有効なワンタイムパスワードが届きます。確認して入力→「認証」します。
これで全ての設定が完了しました。受取方法はあとで変更することができるようです。
設定を確認する
それでは設定されているか確認してみましょう。Yahooアカウントからログアウトしてもう一度ログイン画面にアクセスします。
今まで通りのログイン画面でパスワードを入力すると、ワンタイムパスワードの入力画面に切り替わりました。しっかり設定されているようです。
まとめ
Yahooアカウントは複数取得することができます。確認してみたところそのそれぞれのアカウントにGoogle認証システムを使いワンタイムパスワードを設定することもできました。
それ以外のサービスの設定方法もまとめたので良かったら参考にしてみてください。
・Googleアカウント
参考 :「Googleアカウント乗っ取り対策!」 Google2段階認証プロセスの設定方法
・WordPress
参考 :「WordPress」 2段階認証を導入する!また、ログインできなくなった時の対処法も
・Dropbox
参考 :「Dropbox」 Google認証システムを使った2段階認証の設定方法!
・Zaif – 仮想通貨取引所
参考 :「Zaif」でビットコイン!2段階認証を設定する方法
[ad2]