スマホを「鍵」にする二要素認証で「合鍵」を作れるアプリはありかなしか?:半径300メートルのIT(2/2 ページ)
IIJが二要素認証用のワンタイムパスワード管理アプリをiOS/Android OS向けに無料で公開しました。さっそく使ってみると「便利だな」と同時に「リスクかも」と思うのです。
二要素認証のリスクは「移行忘れ」
二要素認証の設定は、やってみると意外と簡単なことに気付きます。例えば、最初はよく知っている人に目の前で設定方法を実演してもらうといいかもしれません。ところが「機種変更」や「サービス退会」のときに大きな落とし穴があります。
Gmailをはじめとするグーグルの二要素認証は「キャリアのメールアドレス」のみが利用できます。そのため、二要素認証の設定を解除しないままMNPを行ってしまうと、解約したキャリアメールに番号が届きます。つまり、パスワードを知っていたとしても「鍵」となる端末が手元になければ、そうそう簡単にはWebサービスへログインできなくなるのです。これはまさに二要素認証が強固だといえる理由の1つなのですが……。
筆者の知人がこの落とし穴にはまってしまいました。復旧のためには秘密の質問や、さまざまな細かい質問に答えないといけませんでした。このような場合や万が一の紛失に備えて、二要素認証は「バックアップコード(復元コード)」を提供しています。二要素認証の利用時には必ずバックアップコードを取得してどこかに書き留めておきましょう。
二要素認証の「合鍵」を作る行為はリスクかも?
さて、筆者もIIJ Smartkeyの設定引き継ぎ機能は便利だと思います。しかし、そもそも二要素認証とはパスワード以外に「その人しか持っていないもの/デバイス」を鍵にすることを前提とした仕組みです。2台のデバイスを鍵にすることは「合鍵」を作ることでもあり二要素認証の趣旨に反するともいえます。
2台になれば、単純計算で「鍵になるスマホ」を紛失したり、盗まれたりする確率が2倍になります。そうでなくとも簡単に設定をエクスポートできるのであれば、ちょっと目を離した隙にだれかがこっそりと設定を別端末にコピーする可能性もあるでしょう。
もちろん、IIJ Smartkeyも含め、ほとんどの二要素認証アプリは起動時にパスコードの入力を要求したり、指紋認証を使ったiPhoneの「Touch ID」と連携させたりして本人以外には使えないようになっています(IIJ Smartkeyでは、パスコードを設定しないことも可能ですが、絶対に設定しておくべきです)。それでも筆者は、二要素認証のデバイスを複数作ってもいい人は、絶対にそのデバイスを手元から離さないことができる人に限ると思うのです。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
筆者より:
2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。
これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。みなさんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。
関連記事
- 万人にお勧めしたいけれど、まだまだ面倒くさい「二要素認証」
IDとパスワードの組み合わせ以外に、もう1つ何かを入力しなければいけない「二要素認証」。セキュリティを確保するためにはオンにしてほしい仕組みですが、まだまだ安心よりも「手間」が勝ってしまうようです。 - Twitterの「レイバン激安」で考える、もう1つの「使い回し対策」
レイバンやプラダ、UGGなどの偽ブランド品を紹介するTwitterスパムの被害が止まりません。根本的な原因は、IDとパスワードの使いまわしにありそうです。 - あなたの銀行口座が狙われている――情報セキュリティ10大脅威 2015
IPAが発表した10大脅威、堂々の1位を飾ったのは「インターネットバンキングやクレジットカード情報の不正利用」。明確に日本国内の口座を対象とした攻撃もあります。 - 情シスさん、パスワードの定期変更よりもやるべきことがある
定期的なパスワード変更を強制させるだけで情報漏えいが防げるハズはありません。定期変更が無意味だとはいいませんが、パスワードに関してもっと注力すべき点があります。 - 「PCの暗号化を解除しないと、飛行機に乗せないよ」といわれたらどうする?
パリの国際空港で飛行機に乗る直前に米セキュリティ企業の幹部が呼び止められました。「PCのパスワードを解除しなさい、それがルールだから」
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.