パスワードを没収されたので
以前、Yahoo!ショッピングの支払いでPayPayが使える設定にしたら、Yahoo!のパスワードを取り上げられてしまった。
これ、実際にやったことある人ならわかると思うけど、携帯電話回線にYahoo!アカウントが紐付くことで、
従来使っていたパスワードは無効化され、回線またはSMSから届くワンタイムパスワードで認証が行われるようになるのだ。
4500万人のユーザーに“パスワード”をやめさせたい――ヤフーが進める「もっと安全で簡単な認証」とは (ITmedia)
自宅の回線からYahoo!にログイン操作を行うときはSMSで届くワンタイムパスワードを入力するが、
携帯電話回線に接続しているスマートフォンだと、アカウントを確認するだけで認証が完了する。
これはSoftBankとY!mobileの回線に限ったことだと思うが、確かに便利ではある。
2要素認証の仕組みがセキュリティが重視されるサービスで普及している。
例えば、住信SBIネット銀行のログインだと、スマートフォンのアプリでロックを解除して(物)、IDとパスワードで認証(知識)という2要素を使っている。
パスワード流出のリスクを考えると、パスワードという知識に頼った認証はなかなか厳しい。
そこで2要素認証なのだが、これはこれで手間がかかるし、やっぱりパスワードもそれはそれで使う。
Yahoo!は電話回線につながったスマートフォンを持っていることを、唯一の認証手段とすることを推奨している。
スマートフォンなど物を使った認証は、パスワード流出リスクは低減されるが、紛失のリスクってのはある。
この点については、まずスマートフォンなど物に適切にロックをかけておくこと。
たった4桁のPINコードでも、スマートフォンを失ったときに少し破られなければよい。
そのうえで、紛失したら認証手段から外せばよいわけである。
実は物を使った認証というのは、スマートフォンに限った話でもない。
自分で運用しているサーバーの認証手段として SSHの公開鍵認証 と SSLクライアント証明書 がある。
どちらもファイルだけど、知識というよりは物だよね。デバイスに登録することもできるし。
このファイルにはパスワードがかけられているので、ファイルだけ入手してもそれだけで使えるわけではない。
その上で、紛失などあれば無効化することもできる。
Yahoo!にパスワードを没収されたことをきっかけにして、認証手段の取扱をいろいろ検討したが、
今まで使っていなかったパスワードマネージャーを使用して、パスワードの強化を図ることにした。
Googleパスワードマネージャーは、PC・AndroidのChromeブラウザで統合的にパスワードを管理できる。
これまでPCではFirefoxを使っていたが、Chromeへの移行に問題ないので、
全部Chromeに統一して、サービスごとにパスワードを設定するなら統合管理することにした。
その上で、他の認証手段と紐付けて、パスワードレスにできるのなら、それも活用することにした。
昨日・今日でおよそ120のサービスの認証手段を見直した。すさまじい数だな。
このうち、パスワードを唯一の認証手段とするものは85個ほど。
パスワード+スマートフォンの2要素認証が5個ほど、これもパスワードの管理が必要となる。
これらのパスワードはGoogleに管理してもらい、Chromeでは自動的に呼び出される。
ただし、全てがChromeで入力するパスワードとも限らず、アプリ画面へ入力するものもある。
そういう場合は、Chromeからパスワードマネージャーを呼び出して、コピペすることになる。
端末のロック解除操作(PINコードとか指紋認証)をするとパスワードのコピペが許される。
煩わしいとは思うのだが、厳重に管理されたGoogleアカウントで複雑なパスワードを保存する方がよいという判断。
この85個ほどのパスワードで唯一Googleに管理させていないのは、Google自身のパスワードだけ。
(Android端末やPCのChrome・Thunderbirdには常時紐付いているので、普段は入力することない)
残り30個ほどのサービスでは他のサービスを認証手段に使う。
Yahoo!もこの分類ですかね。Y!mobile回線への接続またはSMSを認証手段としているので。
Yahoo!IDを使った認証はおよそ10個、Twitter・Google・Facebookを使った認証が各5個前後。
変わり種では ねんきんネット の認証手段が マイナポータル、すなわちマイナンバーカードの証明書を使った認証にしたというのがある。
以前からFacebookに紐付いていたLINEのようなのもあるが、多くは今回新しく紐付けを行った。
ただ、紐付けを行うことでパスワードが抹消されるサービスはそう多くなくて、
従来の弱いパスワードを上書きするためにパスワード変更して、Chromeがパスワードを保持しているものも多い。
実際のところ、アプリでは他のサービス経由での認証には対応していないなんてのもあって、
結局、個別のパスワード認証になってしまっているのはある。
あと、既存のアカウントには紐付けできないものもあったり、メールアドレスが同じであるという条件があったり。
それとあわせて対策をしたのが、自分のサーバーで運用しているメールアカウントの認証強化である。
パスワード再設定時の連絡先がここになってたりするわけだから、ここの認証はとても重要である。
こちらはSSL証明書認証への移行構想は昔からあったが、いろいろ苦しみながらやっとこさできた。
Dovecotのバージョンを上げて、充実しているとは言えない資料を漁りながら実現できた。
Dovecot and Postfix client certificate authentication (Mortikia Blog)
僕が使っているメーラーはPCではMozilla Thunderbird、Androidでは K9 Mail だが、
どちらも証明書認証には対応しているので、マニアックな認証方法だが、実用上の問題はない。
これにより、サーバーの各種サービスへのログインはパスワードレス化されたはず。
(一部は互換性のためにパスワードを併用しているものもあるが、Linux自身のパスワードとは切り離した)
まだ、少し見直しが完了していないものもあるが、だいたいこんなもの。
しかし、パスワード再設定もだいぶしたけど、設定可能な桁数がとても短かったり、旧パスワードが平文で見えてたり、
見直しを進める中で桁数や文字種の条件は以前より緩和されているものもありましたね。
EX予約は以前は数字しか設定できなかった覚えがあるが、今はアルファベット含めて8桁まで行けるようになった。
制限が厳しいように見えるが、これは券売機で入力することがありうるから。
インターネット用と券売機用(カードとの2要素認証とも言える)で分けるのが正しいと思うが、以前よりマシにはなった。
サービスによってはパスワードの強度や流出リスクに課題があるなぁと。
そのリスクに対して、今回の対策を行うことで緩和はできたのかなと。
Chromeが自動入力してくれたり、Yahoo!やGoogle経由の認証になったり、
実質的なパスワードレス化がかなり進むことになる。
物の管理には一層の注意を払う必要はあるが、利便性は高まるなと思う。
Yahoo!にパスワードを没収されてから吹っ切れたというのはあるね。それでいいんだって。
Author : Hidemaro
Date : 2019/11/23(Sat) 23:50
コンピュータ・インターネット | Comment | trackback (0)