楽天ダウンロード被害その後やったこと1
考察いろいろ
今回の,楽天ダウンロード経由でドラゴンクエストがクレジットカード購入されたのには,いくつものセキュリティが破られました.1. 楽天アカウントとパスワードが破られた
2. 3Dセキュリティ(楽天の主張)だと,秘密のパスワードと答えが破られた.セキュリティコード認証だと,クレジットカードに記載されている数桁の数字暗証番号が破られた
とりあえず,パスワードの類はかなり複雑で,辞書式や総当り式じゃ破られないようにしていたのですが,確かに違うサイトのパスワードと使いまわしていました.そこでいろいろ考えました...いくら複雑なパスワードでも,そのリストが出回っているなら無意味です.
・短期間でパスワードを変え続けるのは実用的ではない
・2段階セキュリティで,ログインするたびに,ワンタイムパスワードを受け取る→携帯端末でメーラを立ち上げる→ワンタイムパスワードを確認する→Webでワンタイムパスワードを入力する,というのは面倒臭すぎる
結論:手元のiPhoneをワンタイムパスワード生成器にすれば,メールでワンタイムパスワードを受け取る面倒さが軽減される
導入したソフト:Anthy
無料でGmailなどの2段階認証を誰でも簡単にオフラインで実行できるアプリ「Authy」 - GIGAZINE
Authy: 2段階認証のコードをまとめて管理! 紛失時の復元・データ同期もできる。 | AppBank – iPhone, スマホのたのしみを見つけよう
Google Drive/MailなどやDrop box/Evernoteでは,2段階認証は必ずメールでワンタイムパスワードを受け取ると記載されていますが,それはウソで,携帯端末のパスワード生成ソフト(AnthyやGoogle Authencator)にも対応していました.ならば利用も簡単なので,導入するのみです.
Evernoteに導入してみました.Anthyのセットアップは済んでいるものとします.
普通にEvernoteのWebサイトにログインする
まず普通にEvernoteにWebでログインします.アカウントとパスワードの入力が求められます.
アカウント・パスワードだと危険すぎるので,一度ログアウトします.
2段階認証を設定する
とりあえずアカウント・パスワードでログインし,アカウントの概要から,セキュリティ概要に進みます.
2段階認証の有効化を押します.
ここで,「携帯電話にテキストメッセージで送信されます」と書いてありますが,認証アプリを導入していれば,メッセージは最初の一回だけで,あとはアプリがワンタイムパスワードを作ってくれます.
とりあえず,Evernoteに登録してあるメールアドレスの再確認を求められます.
さらに携帯端末の保有が確認されます.SMSでパスコードが送られますが,日本ではSMSの受信に関しては無料でしょうから問題無いと思います.
ここで初めて,携帯端末でワンタイムパスワードを生成するソフトを入手するように促されます.面倒なので,AuthyなりGoogle Authenticatorのインストールは先にしておくのが良いと思います.
有効にしようとすると,QRコードの入力が求められます.これは,AuthyなりGoogle Authenticatorを立ち上げてスマフォのカメラで撮るだけなので簡単です.
ここは各サイトによって違うのですが,Evernoteではいざという時のためのコードが発行されます.
しかも,そのバックアップコードを一個,念の為に入力してみてくれという入念さです.
2段階認証でログインする
パスワードは保存されているのですが,さらに認証を求められます.
iPhoneでワンタイムパスワードをいつでも作れるわけですが,
これで,「携帯端末を紛失しない」「トークン発行アプリにバグがない」などいくつかの仮定のもとで,非常に安全になったと思います.