考察いろいろ

1. 楽天アカウントとパスワードが破られた
2. 3Dセキュリティ（楽天の主張）だと，秘密のパスワードと答えが破られた．セキュリティコード認証だと，クレジットカードに記載されている数桁の数字暗証番号が破られた

とりあえず，パスワードの類はかなり複雑で，辞書式や総当り式じゃ破られないようにしていたのですが，確かに違うサイトのパスワードと使いまわしていました．そこでいろいろ考えました．．．いくら複雑なパスワードでも，そのリストが出回っているなら無意味です．

・短期間でパスワードを変え続けるのは実用的ではない
・2段階セキュリティで，ログインするたびに，ワンタイムパスワードを受け取る→携帯端末でメーラを立ち上げる→ワンタイムパスワードを確認する→Webでワンタイムパスワードを入力する，というのは面倒臭すぎる
　

結論：手元のiPhoneをワンタイムパスワード生成器にすれば，メールでワンタイムパスワードを受け取る面倒さが軽減される

導入したソフト：Anthy
無料でGmailなどの2段階認証を誰でも簡単にオフラインで実行できるアプリ「Authy」 - GIGAZINE
Authy: 2段階認証のコードをまとめて管理! 紛失時の復元・データ同期もできる。 | AppBank – iPhone, スマホのたのしみを見つけよう

Google Drive/MailなどやDrop box/Evernoteでは，2段階認証は必ずメールでワンタイムパスワードを受け取ると記載されていますが，それはウソで，携帯端末のパスワード生成ソフト（AnthyやGoogle Authencator）にも対応していました．ならば利用も簡単なので，導入するのみです．

Evernoteに導入してみました．Anthyのセットアップは済んでいるものとします．

普通にEvernoteのWebサイトにログインする

まず普通にEvernoteにWebでログインします．アカウントとパスワードの入力が求められます．

その2つを入力したら，ログインできます．

アカウント・パスワードだと危険すぎるので，一度ログアウトします．

2段階認証を設定する

2段階認証の有効化を押します．

ここで，「携帯電話にテキストメッセージで送信されます」と書いてありますが，認証アプリを導入していれば，メッセージは最初の一回だけで，あとはアプリがワンタイムパスワードを作ってくれます．

次の画面で，サラッとアプリについても触れられます．

とりあえず，Evernoteに登録してあるメールアドレスの再確認を求められます．

念のための確認コードが送られます．

さらに携帯端末の保有が確認されます．SMSでパスコードが送られますが，日本ではSMSの受信に関しては無料でしょうから問題無いと思います．

携帯端末に届いたパスコードを入力します．

ここで初めて，携帯端末でワンタイムパスワードを生成するソフトを入手するように促されます．面倒なので，AuthyなりGoogle Authenticatorのインストールは先にしておくのが良いと思います．

一度ログアウトさせられます．

設定を見ても，まだ二段階認証が有効になっていません．

有効にしようとすると，QRコードの入力が求められます．これは，AuthyなりGoogle Authenticatorを立ち上げてスマフォのカメラで撮るだけなので簡単です．

ここは各サイトによって違うのですが，Evernoteではいざという時のためのコードが発行されます．

しかも，そのバックアップコードを一個，念の為に入力してみてくれという入念さです．

それが終わると，やっと設定終了です．

確認すると，ちゃんと2段階認証が有効になっています．

2段階認証でログインする

パスワードは保存されているのですが，さらに認証を求められます．

iPhoneでワンタイムパスワードをいつでも作れるわけですが，

わざとウソのIDを入れてみました．

すると，ちゃんと（？）エラーになりました．

これで，「携帯端末を紛失しない」「トークン発行アプリにバグがない」などいくつかの仮定のもとで，非常に安全になったと思います．