あかぎれが痛い

ついでにお腹も痛い。

今さら聞けないパスワード管理の基本と二段階認証。

f:id:seal2501:20170501234435p:plain
こんにちは。

5月の連休前半戦は地元の山形で弟の結婚式でした。残念ながら5/1〜2は仕事休めませんでしたので、9連休にはできず東京にとんぼ返りです。

いいお式でしたねぇ…と東京スター銀行のCMのマネをしながら余韻に浸っていたのですが、結婚式翌日の朝に事件が起きました。


嫁からFacebookのイベント紹介が届きます。何かと思ったらレイバンスパムにやられてました…。(しかもよく見るとレバイン)
すぐにパスワード変更するなどの予防策を取りましたが、身近な人からグラサン画像が届くと悲しい気持ちになりますね。
んでその時に、二段階認証使ったほうがいいよと助言したのですが、口頭で説明してもよくわからんと言われた上に、ブログにでも書いとけと投げやりな応対をされ、頭にきて書いているエントリーとなります。とりあえず、パスワード管理ちゃんとしないとこうなるよっていう要点と、とりあえずこれやっとけばおk的な書き方にしてみます。
あと、前提条件としては、スマホを使える環境の人に限らせてもらいます。PCだけ使ってできるような説明にはなっていません。あとiPhone前提だったりします。泥とか窓使いは参考程度にどうぞ。

ちゃんとパスワードを管理しないと起こる悲劇一例

  • 銀行口座から貯金がなくなるかもしれない
  • 自分が詐欺の犯罪者になってるかもしれない
  • クレカが不正利用される上に保障されないかもしれない
  • その他いろいろ


かいつまみすぎましたが、パスワード管理の基本は、いろんなWebサービスでパスワードを使いまわさないってことに尽きます。
でも、実際問題覚えられないし、あんまりいろいろなパスワードを使っていると毎回パスワード再発行しないと…なんてことにもなりかねません。


じゃあどうすればいいんだよ

  1. パスワード管理アプリを使う
  2. 二段階認証を使う

この2つを使えばまず問題ないです。

パスワード管理アプリとは

簡単に言えば、パスワードの台帳です。IDとパスワードのセットを保存しておき、ログインするときに呼び出して使うことができます。
私はiPhone+1Passwordを使っています。パスワードを自動生成してくれるので大変便利です。もはやTwitterとかGoogleのパスワードなんて私も覚えてません。1Passwordが死んだら私も死にます。

1Password

1Password

  • AgileBits Inc.
  • 仕事効率化
  • 無料

使い方は、このサイトが秀逸でしたのでご紹介します。
iPhone/iPadアプリ「1Password」パスワード管理におすすめ! - PC設定のカルマ
上記の記事中では、1Passwordブラウザを使っていましたが、Safariの共有ボタンから1Passwordを呼び出して使うこともできます。その設定はこちらのサイトを御覧ください。
iOS8ならセキュリティも万全に!1Passwordと連携させてSafariで簡単にパスワードを入力する方法 | ミライFAN


ちなみに、お金持ちのお客様はMac版の1Passwordもありますので、そちらも合わせてご利用できます。今日現在では、30日間無料で使えるようです。その後は、480円/月で使えるみたいです。私は貧乏ですしiPhoneで管理するポリシーにしているので買ってません。

1Password

1Password

  • AgileBits Inc.
  • 仕事効率化
  • 無料
iPhoneで管理している場合、Mac版を購入し、iCloudの書庫と同期してしまえばiPhoneだろうとMacだろうと気にせずシームレスに使えます。AndroidとかWindowsの人はDropboxに書庫を作れば同じように同期できますよ。




なお、マスターパスワードは決して忘れないでください。忘れると死にます。
(登録したWebサービスすべてのパスワード再発行がかなりしんどいことは想像に難くない)
iOSユーザーであれば、マスターパスワードの代わりにTouchIDも使えるので合わせてご検討ください。
iPhone/iPadアプリ「1Password」 - Touch ID(指紋認証)でロック解除 - PC設定のカルマ

二段階認証とは

IDとパスワードに加え、第二のパスワードとも言える番号を使用してログインする方法です。
二段階認証のパスコードは、SMSで送られてきたり、アプリで生成することできます。アプリ生成の場合は、コードの有効期限が30秒〜1分と非常に短いので、万が一漏洩しても不正ログインされる可能性が低いです。(可能性はゼロにはならない点に留意)
私は、SMSではなくアプリを使っています。1Passwordに課金することでそちらでも利用できるようですが、私は別なアプリAuthyを使っています。

Authy

Authy

  • Authy Inc.
  • ユーティリティ
  • 無料

1Passwordと同様、他サイト紹介の形で恐縮ですが、セットアップはこちらのサイトが読みやすかったので参考にしてください。
2段階認証はGoogle認証システムよりAuthyが便利!スマホを替えても再度登録する必要なし
※説明がAndroidベースだけど画面遷移は同じなので…(もう自分はセットアップ済みにつき初期画面を見るには電話番号がもう一つ必要なので勘弁してください)


まだ対応しているWebサービスは多くありませんが、今後増えてくるものと思いますので、使っておいて損はないです。
特に、一度漏洩すると影響範囲がでかいGoogleとかMicrosoftが対応しているので、この2アカウントだけでも使う価値があると思います。
ちなみに、FacebookとかDropboxでも使えますよ(私はDropboxだけ設定がうまく行かず未設定)。


あと、AppleIDも2ファクタ認証に対応しましたが、アプリでのコード生成は非対応で、他のiOS端末またはMacOS端末によるコード生成に限定される為、ちょっと毛色が違います。正直不親切。何台もiOS端末持ってるやつのほうが少数派だわ。


iPhoneユーザー前提の記事になってしまっているので補足しますと、ブラウザ(Safari)が新規Webサービスに登録する際に自動でパスワードを生成し、iCloudキーチェーンに保存してくれる便利な機能がありますが、私は使っていません。理由は、Safariでしか使うことができないからです。可用性がない!
例えばChromeでも同じことをするには、Safariが設定したパスワードを取り出す必要があります。難しい作業ではありませんが、Macが必要になります。(キーチェーンアクセスを使用する必要あり)

1Passwordなら、IDとパスワードを表示させて他の端末に手打ち…とかできます(面倒だし大変だけど見れないよりマシ)。
お行儀が良くないですが、パスワードをメールやらTwitterのセルフDMに載せるとかもできます。※この作業には漏洩リスクがあるので非推奨です。てか真似しないでください
尚、iOS10.2.1以降とmacOS Sierra以降であれば、ユニバーサルクリップボードという機能があるので、iPhoneの1PasswordでID/Passwordをコピー→特別な操作せずにMacでそのまま右クリック→貼り付け…なんて事ができます。これはめっちゃ便利ですよ。

それさえも面倒だと思ったあなたへ
  1. SNS、ショッピング、金融の3種類だけでもパスワードは分ける
  2. フリーWiFi環境下でログイン操作をしない
  3. ショルダーハックに気をつけろ

SNSで使っているパスワードが漏洩した際に、他のサイトでもパスワードを使いまわしていた場合は芋づる式に不正アクセスされるリスクが高いです。
せめて、金融系サービスやショッピング系だけでもパスワードを分けておけば、ある程度のレベルまでリスクは抑えられます。

あと、最近どこにでもあるフリーWiFi。WEPどころか無暗号のWiFiまであって、正直使う気になりません…2年前にトレンドマイクロがリスクを指摘しています。
自宅ルータのセキュリティ設定を見直そう | トレンドマイクロ is702
ちなみに、嫁はおそらくフリーWiFiで抜かれたと思われます(スタバとマツキヨのフリーWiFi使用中に、Facebookのログアウト・ログイン操作を実行していたとのこと)。

ショルダーハックというのは、覗き見のことです。最近のケータイは画面がでかくなったので、何を入力したのかわりと簡単に覗けてしまいます。電車の中や人口密集エリアでの秘匿情報の入力も、極力控えたほうがいいでしょう。

まとめ

パスワードの管理が雑だと、銀行から不正送金されたとか、クレカを不正利用された時に保障の対象外となることがあります。
それだけでなく、旧に被害が増えているAmazonマーケットプレイス詐欺については、ウィルスを使った不正操作により、本人の意図しない形で詐欺に加担してしまうだけでなく、刑事・民事責任を追う必要が出て来るケースも有ることを認識しておくべきでしょうね。
てか、レイバンスパムがここまで広まってるのに、知ってか知らずか、スパムイベントページに「興味あり」とか「参加」にチェック入れちゃう人ってなにものなんでしょうね。

殴り書き風になってしまいましたが、今日はこのへんで。