ウェブと食べ物と趣味のこと

格安SIMのこと、windows10、迷惑メールネタ、写真ネタなど。困った方の参考になる記事を心掛けます。

Gmailは必ず2段階認証することをオススメします

スポンサードリンク

f:id:photoblg:20170613225308j:plain

こんにちは。先日Gmailに「Google 2 段階認証プロセスにより、お使いのアカウントへのログインがブロックされました。」という内容のメールが届きました。

何やら穏やかではない内容です。

このメールが届いたのは、メインで使っているEメールアドレスではなく、以前運用していたサイト用に取得したアドレス。(を転送したもの)

今日はまだ未設定の方には是非設定していただきたい2段階認証にについて紹介したいと思います。

Google 2 段階認証プロセスにより、お使いのアカウントへのログインがブロックされました

f:id:photoblg:20170613233243j:plain

メールを見る限り、どこかの誰かが勝手にログインしようとしていたようですね。

このログインに心当たりがない場合は、第三者があなたのパスワードを不正に使用している可能性があります。

このアカウントは普段使っていないですし、このタイミングでログインをしてもいないので不正アクセスが濃厚。

パスワードは常に狙われている

ブルートフォース(総当り)攻撃、辞書攻撃などパスワードの解析攻撃手法は様々。

しかも単純なパスワードの場合あっという間に解析されてしまいます。

以下はパスワードの文字種別解析実験の結果です。

数字や記号を組み合わせることにより解析が困難になる一方、パスワードが短いと1秒以下で解析されてしまうことがわかります。

英小文字

  • 4桁・・・1秒以下
  • 6桁・・・1秒以下
  • 8桁・・・46秒
  • 10桁・・・9時間

英大小+数字

  • 4桁・・・1秒以下
  • 6桁・・・13秒
  • 8桁・・・13.5時間
  • 10桁・・・6年

英大小+数字+記号

  • 4桁・・・1秒以下
  • 6桁・・・2分24秒
  • 8桁・・・14日
  • 10桁・・・341年

引用:セキュリティ調査レポート Vol.3/パスワードの最大解読時間測定 【暗号強度別】 | サービス | ディアイティ

パスワードは英数記号の10桁推奨。しかし長い&サービスごとにパスワードを変更していると覚えるのも大変・・・。

そこで設定しておきたいのが2段階認証です。

追記:ブコメでこれはZIPファイルの解析時間なので関係ないこの計算は正しくないとご指摘いただきましたが、ここの参考例についてはパスワードの解析時間測定の目安として書かせていただいた次第です。

サーバーを介すと当然ロスはしますが、短いパスワードの場合、複雑なパスワードを設定するより簡単に解析できてしまうので安易なパスワードは設定しないようにしましょう。

2段階認証の仕組み

f:id:photoblg:20170614001608p:plain

パスワードだけだと限界がありますが、2段階認証を使用すると信頼度がアップします。

2段階認証では通常のパスワードに加え、携帯電話のテキスト メッセージや音声通話、モバイルアプリを介して送信されるコードで認証、パスワードが漏洩した場合でも携帯電話(スマホ)を持っていないと認証できないため、セキュリティが強化されます。

Gmailの2段階認証の設定方法

以下のURLの「使ってみる」から設定を進めます。

Google 2 段階認証プロセス

f:id:photoblg:20170614004944j:plain

復旧オプションを設定していない場合は、「再設定用の電話番号」か「再設定用のメールアドレス」を設定。

f:id:photoblg:20170614005122j:plain

通常のログインパスワードを入力、「次へ」

f:id:photoblg:20170614005902j:plain

「開始」ボタンで設定を進めます。

f:id:photoblg:20170614005941j:plain

テキストメッセージ、音声通話のいづれかからコードの取得方法を選びます。(今回はテキストメッセージを説明します。)

f:id:photoblg:20170614010018j:plain

設定した電話番号にショートメールが届くので記載されているコードを入力。

f:id:photoblg:20170614010030j:plain

「オンにする」を選択。

f:id:photoblg:20170614010338j:plain

スマホの場合、アプリによる認証も可能。こちらのほうが手軽なので設定します。

あらかじめアプリはインストール

Google 認証システム
Google 認証システム
開発元:Google, Inc.
無料
posted with アプリーチ

設定画面の「認証システムアプリ」を選択

f:id:photoblg:20170614010414j:plain

お使いのスマートフォンを選んで「次へ」

f:id:photoblg:20170614010657j:plain

バーコードが表示されるのでアプリから追加すると準備は完了です。

f:id:photoblg:20170614010821j:plain

ログイン時にアプリに表示されるワンタイムパスワードを参照して入力するとログイン可能になります。

f:id:photoblg:20170614011354j:plain:w250

この番号は現在の時間とバーコード(秘密鍵)で生成しているもので、30秒毎に切り替わります。つまりバーコードを盗まれると突破されてしまうので絶対に他人には見せないようにしてください。

f:id:photoblg:20170614010900j:plain

最後に

以上今回はGmail(Googleアカウント)の2段階認証についてでした。

認証アプリのスクリーンショットを見てわかるようにこの認証アプリはGoogleアカウントの他dropboxやFacebook、Evernote、AmazonなどTOTP規格(RFC 6238)を採用しているWebサービスで利用可能。

その他にも各社対応アプリも用意されています。

Yahoo! JAPAN ワンタイムパスワード
Yahoo! JAPAN ワンタイムパスワード
開発元:Yahoo Japan Corp.
無料
posted with アプリーチ
Microsoft Authenticator
Microsoft Authenticator
無料
posted with アプリーチ

Googleも設定推奨ですが、Amazonなんかも先日マーケットプレイスのアカウントが乗っ取られる事案などありましたので是非2段階認証設定しておきたいですね。