スマホを「鍵」にする二要素認証で「合鍵」を作れるアプリはありかなしか?:半径300メートルのIT(1/2 ページ)
IIJが二要素認証用のワンタイムパスワード管理アプリをiOS/Android OS向けに無料で公開しました。さっそく使ってみると「便利だな」と同時に「リスクかも」と思うのです。
本連載でもたびたび「二要素認証」を取り上げています。Webサービスへのログインに使うIDとパスワードの組み合わせに加えて、所有するスマホにWebサービスからメールやSMSを使ってランダムな数字を送ってもらい(あるいはアプリに表示させて)、それを入力するという方法です。この場合では「その人だけが知っているパスワード」と「その人しか持っていないデバイス」という2つの要素を使うので二要素認証となるわけです。
さまざまなWebサービスでの「同一パスワードの使いまわし」が問題になっています。多くのWebサービスではIDを登録メールアドレスにしているので、どこかのWebサービスでパスワードが流出したらほぼすべてのWebサービスに不正ログインされる可能性が高まるからです。
とはいえ、実際には複数の異なるパスワードを管理するのは難しいでしょう。となると、二要素認証の重要性が高まるはずなのですが、やはり「面倒くさい」という理由で普及が進んでいるとはいえない状況です。
サービス提供者もそのあたりの背景は理解しているようで、さまざまな施策を打っています。今回はIIJが4月3日にリリースした二要素認証用ワンタイムパスワード管理アプリ「IIJ SmartKey(参照リンク)」の使い勝手を検証してみます。
どのアプリでも表示される内容に変わらない
Webサービスにログインしようとすると、IIJ SmartKeyには6けたの数字がワンタイムパスワードとして表示されます。これは「時間」をベースにして数字を作り出す「Time-based One-time Password」という仕様(RFC 6238)に従っていて、通信することなく数字を生成します。ということは、これまで筆者が使っていたグーグルのアプリ「Google 認証システム(参照リンク)」と表示されるものは変わりません。
何か目新しい要素はないものかと探してみると、1つ面白い機能がありました。それは「設定のエクスポート」です。IIJ Smartkeyは、スマホを機種変更してもワンタイムパスワードを生成するための情報を引き継げるのです。
具体的には、旧端末で設定したサービスごとに「設定エクスポート」をタップすると、現在の設定が二次元バーコードとして表示されます。これを新端末側のIIJ Smartkeyで読み取ることで、まったく同じ認証コードを取得できるようになります。
試しに筆者が使っているAndroid端末から、サブで使っているiOS端末に設定をコピーしてみました。すると両方のアプリにはまったく同じ数値が表示され、それを使ってiOS端末からでもWebサービスにログインできることを確認しました。
SMSやキャリアメールを使った二要素認証では、海外に行ったときに受け取れるかどうか不安です。二要素認証アプリを使っていればどこでも表示できますが、デバイスをなくしたときに面倒です。二要素認証アプリを2台の端末で同期させるというのは面白い解決策かもしれません。
関連記事
- 万人にお勧めしたいけれど、まだまだ面倒くさい「二要素認証」
IDとパスワードの組み合わせ以外に、もう1つ何かを入力しなければいけない「二要素認証」。セキュリティを確保するためにはオンにしてほしい仕組みですが、まだまだ安心よりも「手間」が勝ってしまうようです。 - Twitterの「レイバン激安」で考える、もう1つの「使い回し対策」
レイバンやプラダ、UGGなどの偽ブランド品を紹介するTwitterスパムの被害が止まりません。根本的な原因は、IDとパスワードの使いまわしにありそうです。 - あなたの銀行口座が狙われている――情報セキュリティ10大脅威 2015
IPAが発表した10大脅威、堂々の1位を飾ったのは「インターネットバンキングやクレジットカード情報の不正利用」。明確に日本国内の口座を対象とした攻撃もあります。 - 情シスさん、パスワードの定期変更よりもやるべきことがある
定期的なパスワード変更を強制させるだけで情報漏えいが防げるハズはありません。定期変更が無意味だとはいいませんが、パスワードに関してもっと注力すべき点があります。 - 「PCの暗号化を解除しないと、飛行機に乗せないよ」といわれたらどうする?
パリの国際空港で飛行機に乗る直前に米セキュリティ企業の幹部が呼び止められました。「PCのパスワードを解除しなさい、それがルールだから」
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.