2段階認証のコードは本人にもわからない
みなさん、こんにちは!
B-CHANです。
LINEの乗っ取り事件が多いので、ついに暗証番号導入が義務付けられましたね。
LINE乗っ取り防げ! 暗証番号を義務化、22日午後から - MSN産経ニュース
まあ、LINEをやらないボクには何の関係も無いニュースですが、このニュースを聞いて、まだ甘いんじゃないかな、と思いました。
ボクがLINEを使わない理由は以前書いた通りです。
FacebookやLINEには2つの重大なデメリットがあるのでボクは使わない。メッセージのやり取りはGmailに絞る理由。 - 非天マザー by B-CHAN
しかし、今回のLINEのニュースを聞いて、ボクは真っ先に、GoogleやYahoo!やMicrosoftやApple他多数が導入している2段階認証のシステムを思い出しました。
LINEが義務付けた暗証番号というのは、要する、今までの電話番号とパスワード以外に、もうひとつ暗証番号が必要ですよ、という話です。
一手間増えるわけですね。
これって言いかえれば、暗証番号もバレてしまえば、他人が乗っ取れるんですよ、という意味です。
まあ今までよりは確率は下がりますが。
「それって2段階認証のことじゃないの?」
と思ったみなさん。
甘いです!
甘すぎます。
おはぎにハチミツをかけて食べるくらい甘いです。
全然違います。
2段階認証と、LINEの暗証番号とは、根本的に概念が違います。
2つの意味で根本的に違うので、その2つの意味を説明します。
まずひとつ目。
コードは使い捨て
2段階認証にはいくつかの方式があるんですが、例えば有名なのが認証アプリを使う方式。
こういうのをスマートフォンにインストールします。
2段階認証に対応したサービス(GoogleとかMicrosoftとか)では、通常のアカウント名とパスワードを入力した後に、さらにもうひとつのコードの入力を求められます。
ここまではLINEの暗証番号と同じ。
しかし、このコードはあらかじめ決めておくのではなく、認証アプリによって、毎回自動生成されます。
こんな感じ。
ボクは、Google、Dropbox、Evernote、Microsoftを登録してあって、それぞれのコードが上記の画像のように表示されます。
そして、このコードは30秒毎に変化します。
つまり、誰かがこのコードを知ってしまっても問題無いわけです。30秒後には、これらのコードは無効になって、新しいコードが作られるわけですから。
だからこうやってブログに載せても問題無いということです。
ここで頭の良い人は、さらに疑問が湧くと思います。
「じゃあ他人がそのアプリを使えばいいじゃないか!」
そうです。そう思うのも当然です。
そこでふたつ目。
本人のアカウントに紐付いた端末
実は最初に、この認証アプリをインストールしたスマートフォンと本人のアカウントとを紐付けてしまいます。
だから同じアプリを他人がその人のスマートフォンで使ってもダメなんです。
他人のスマートフォンでコードを生成しても通りません。
アカウント本人のスマートフォンを使わなきゃダメなんです。
ボクのGoogleのアカウントを乗っ取りたい人は、まず、ボクのGoogleのアカウント名とパスワードを知った上に、さらに、ボクからボクのiPhoneを奪い去って、ボクのiPhoneで認証アプリを起動するしか無いんです。
- アカウント名を知る
- パスワードを知る
- アカウント本人のスマートフォンを使ってコードを発行する
- 30秒以内にコードを入力する
これらを全部満たさない限り、アカウントは乗っ取られないということです。
LINEの暗証番号はあらかじめ決めておくモノですが、2段階認証は本人のスマートフォンのアプリでしか発行できないので、本人すらわかりません。
LINEのユーザーの大半はスマートフォンを使ってると思うので、応急処置的な暗証番号方式よりも、より強固な2段階認証方式を取り入れたほうが、今後の世界戦略には有効だと思います。
と、今回のニュースを見て、甘党のボクは思いましたとさ。
関連記事
アカウントを乗っ取られた話 - 非天マザー by B-CHAN
あなたはもうセキュリティの横の対策と縦の対策を行っていますか? - 非天マザー by B-CHAN