Google2段階認証に落とし穴? 知らないと取り返しがつかなくなる事とは
最近の個人認証のセキュリティとしては当たり前になりつつある二段階認証(2FA)ですが、これを知っていないとあとでとんでもない目にあうって話です。
専用機を配布しているようなジャパンネット銀行のような場合は無関係なんですが、GoogleやYahooなどが提供しているスマホやPCのアプリ認証がメインの二段階認証が対象。
そのスマホが壊れたら?
二段階認証の関連付けが、あなたのスマホのアプリにしかされていなかったら。
あなたのスマホが壊れてしまった瞬間に、あなたはそのサービスにもう二度とログインができなくなります。
なぜなら、二段階認証コードが発行されるのは、あなたのスマホにインストールされていたアプリだけになっていたからですね。
サービスによっては使い切りの復旧コード(緊急コード)が用意されていたりもするのだけれども、それもまたちゃんと確認しておかなければ意味もなく、発行するにも二段階認証コードを突破しなければなりません。
「……詰んだ」
もはやあなたの二段階認証コードは得られなくなり、対応してもらうためにはサイトのサポートに連絡しなければなりません。
すぐには当然対応なんてしてもらえないので、担当者に本人確認のための手続きをお願いすることになります。
郵送確認だとか身分証の確認だとか、サービスによってまちまちではあるけれども規定されたややこしくも面倒な手続きを延々と経たその果てに、アカウントを復旧させるまでにいくら日数を費やすことになるのか途方に暮れることでしょう。
まさに地獄。
終わりなき煉獄の炎に身を焦がすことになるわけです。
そんな事にならないために
ってことにならないために!! 出来る事はちゃんとやっておきましょう。
で、対策としては2FA登録時にいくつか手順があります。
- 登録用QRコードを保存
- 緊急コードの印刷&保管
- 専用端末を別に用意しておく
以上のような方法がそれ。
でもまたしかし!! この方法って、セキュリティ的な意味ではぶっちゃけNGなんですよね。
むしろイレギュラーパターンといえます。
だいたい、登録用QRコードをスクリーンショットで保管していて、そのファイルをクラッキングされて盗まれでもしたらアウト。
緊急用コードにしても予防策で、アナログ保管になるので紛失しちゃったら意味無いです(洗濯しちゃう可能性も)。
専用端末を用意するのも良い方法ですが、それが壊れてしまったら……。
2FAが生まれた本来の意味が「限られた時間に限られたコードを限られた媒体で生成する」という高いセキュリティ性なので、上記のとくに上二つの対策って真っ向から否定する所業といえます。
個人的見解としては、
ありえない
って思うので、僕が実際にやってる2FA管理ではこれがベスト!?って方法をご案内します。
Authy
その答えはたった一つ!! Authyを使いましょう。
このアプリケーションは、インストールしたデバイスすべてで2FAを共有できるっていうツールです。
たとえばあなたのスマホが壊れたとしても、PCと2FAを共有していたらそちらで2FAでログインが可能になります。
参考記事
➡Authyを導入しよう! 【2FAをまとめて一括ガチに管理する】 | GoshBox
かならずしもAuthyを利用しなければならないってこともないのですが、リスクの管理方法を一元化できるツールを利用すべきという話です。
Authyを使ってても気をつけたいこと
とはいっても、Authyも万全ではないです。 あなたの使い方次第ではクラックされる怖さももってます。
情報セキュリティの今と未来を考える【Yahooメールに脅迫メールが届いた】でも書きましたが、パスワードを定期的に変えたり、実際に接続されているデバイスに不審なものがないかも気をつけましょう。
いつの間にか乗っ取られていた……!? なんて事のないようにくれぐれもお気をつけください。
