こんにちは。
えらく久しぶりの更新となります。
私の様々なWEBサービスアカウントも、何やら外部からツンツンと突かれ不穏でしたので、二段階認証の導入にようやく踏み切りました。
具体的な設定例などはすでにWEB上に溢れかえっていますので、今回は今まで二の足を踏んでいた理由と、それが誤解であって、わりと運用は簡単だということを記事にしてみました。
誤解その1
アカウントを利用するデバイスやアプリから使おうとする度に認証が必要なのかと思ってました。さすがにGoogleやAppleはその辺も考えて、シングルサインオンだったり、認証の維持をしてくれるとは思いましたが、3rdパーティ製のアプリまでは面倒見てくれんだろ?と。
特に認証コード入力のためのインターフェイスを持たないデバイスやアプリはどうすんの?と。
でもこれは杞憂でした。
前者は各アプリやサービスがログインセッションをなるべく維持しますし、後者は「アプリケーション用パスワード」を発行することで回避できます。
余談:
Googleの場合、古めのアプリでもブラウザが組み込まれていれば認証コード入力が出来ますが、これも2017/04/20までだそうで、以降、アプリ側が対応しなければやはりアプリケーション用パスワードを使うことになると思われます。
誤解その2
悪意の第三者が不正ログインを試みる度に認証コードが通知されるのかと思ってました。
彼らは不正ログインの試みを自動化しているのが一般的で、同一アカウントに対してパスワード文字列を変えながら何十回何百回とトライしてきますので、認証コード通知もバンバン通知されてきてしまうのではないかと。
しかしこれも誤解で、パスワードまで突破して初めて認証コード入力のプロセスに移るということでした。
アカウントIDだけが漏洩していて、パスワードをしらみ潰しに変えて不正ログインを試みる所謂「アカウントリスト攻撃」に強いということですね。
以前はアカウントリスト攻撃が繰り返されるとアカウントロックに至り、無実の正規ユーザがロック解除の煩わしさに巻き込まれていました。
二段階認証では、パスワードが突破されない限りは無視しますし、突破されても認証コードという壁が控えてる…なんて安心なんでしょう。
結論
二段階認証に勝手に敷居の高さ、運用の煩雑さをイメージしていました。
初期導入や機種変更は確かに煩わしさがあるものの、一度設定さえ済んでしまえば運用は容易で、あまり意識する必要はありません。
二段階認証を取り入れてるサービスの多くはは、取得した認証をなるべく維持しようとするので、意図的にログアウトしない限りは二段階目の認証コードを入力する機会もそれほど多くありません(二段階認証使うくらいセキュリティ意識があるならいちいちログアウトしろよ、というご意見はごもっとも。)
さらにこれは何か偶然なのかもしれませんが、私の場合、なぜか月々のデータ通信量が激減しました。 もちろん使い方を変えたわけではなく、それまでと同様に使っています。
この恩恵が二段階認証に拠るものだとしたら、逆にこれまでの環境でセキュリティ的にいったいどんな怖ろしいことが起きていたのかと、慄いた次第です。
それでも文句がないわけではない
デバイスの紛失や機種変更に面倒な手順が増えることになります。
Apple(iOS)は認証システムがOSに組み込まれているので比較的簡単そうですが、Googleの認証アプリをプライマリにしてる場合、その移行がちょい面倒ですね。
ほぼ「最初から全部やり直し」です。
つまづいたところ
私のGoogleアカウントはGoogleAppsの1ユーザです。この場合、まずドメイン管理コンソールで二段階認証の設定許可をオンにしておかないと、各ユーザの管理画面で二段階認証を有効に出来ません。
これでしばらく詰みました。
Evernoteは、SMSを使った認証コード通知は有料アカウントしか無理みたい。
Google認証アプリも使えるけど、セキュリティに関わる選択肢を、有料/無料で差別化するのはどうなのさ?
二段階認証という堅牢な障壁を設けるわけですから、パスワードの文字制限は緩和して欲しいな。
あ、でも破られやすいパスワードだと認証コード通知がバンバン発生しやすくもなり、自分で自分の首を絞めることになるか…。
.
