Googleアカウントのセキュリティ状態を向上させるという2段階認証を導入してみる。(例によって自己責任でね。)
2段階認証の概要
2段階認証をONに設定すると、ブラウザでGoogleアカウントに接続するとき、その都度Googleより第2のパスワードともいえる認証コードが送られてくる。これは、接続するたびにコードが異なるその場だけの認証コードとなる。ブラウザ上でこのコードを入力すると、正しい利用者として認められ、ログインができる。
この仕組みのミソは、認証コードの送り先をプライベートなものにすることで、通常は携帯メールか携帯電話を登録しておく。つまり、携帯の持ち主以外は解らないコードが送られてくるので、他者が、仮にIDとパスワードを知りえたとしてもGoogleアカウントにアクセスできないことになる。
利点
- パスワード・ユーザ名が漏えいしても他人がアクセスできない。
- 自分がログインしようとしていないのに認証コードが送られて来たら、誰かが自分のIDを使おうとしていることがすぐにわかる。即座にパスワードを変更すればさらに安全に運営できる。
欠点
- 認証が面倒。ブラウザでアクセスするたびにその都度送られてくる認証コードの入力が必要となる。携帯を忘れたり電池切れになったりすると送られてくる認証コードがわからないので、自分ですらGoogleにログインできない。
- ● 非常用の緊急手段として、使い捨ての認証コードを印刷して持っておくことを推奨。(仮にその紙を落としたとしても、ID・パスワードを知らなきゃ使えないのでほぼ安全と思える。)使い捨てのコードはログインして作成できる。
- 2段階認証に対応していないソフトでは、認証コードが渡せないのでいっさい接続できない。メーラーとかでその問題が起きる。Google謹製でもPicasaとかがそれに相当するようだ。
そこで、利便性を図るための次のような方法が提示されている。(詳細は後述)
- の欠点について: アクセスするマシン自体を信頼するコンピュータとして登録する。つまり自分がいつも使うマシンをGoogleに「信頼するパソコン」として登録してしまう。Googleは信頼するパソコンには認証コードの入力を求めず、いつも通りのIDとpassで接続できる。
- の欠点について: 2段階認証登録後、Googleアカウントにアクセスして機能を利用するアプリに対して「アプリケーション固有のパスワード」を作成する。
- このパスワードはいくつでも簡単に作成できる。パスワードをアプリに記憶させておけば、不自由なくそのアプリが使える。(Googleでは1回認証したらそのパスワードはずっと有効にするといっている。もちろんユーザーが無効にもできる)
- アプリ固有のパスワードはGoogleにログインしてアカウント設定から比較的簡単に作ることができる。
利点
- について自分が認証したマシンに限っては、ブラウザ経由では従来通りの使い方で利用できる。
- についてアプリケーションが2段階認証に対応していなくても、利用可能になる。
欠点
- そのマシンを置き忘れたり、だれか他人が使う場合は2段階認証は働かなくなる。 まぁ2段階認証を使わない従来通りになるだけなんですけどね。。。
- アプリが2段階認証に対応せず、アカウントの保存にも対応していないとき、使用するたびに毎回固有のパスワードを作成する必要がある。(まぁ長いランダムなパスワードをアプリごと、パソコンごとに覚えられれば話は別ですが。たぶん不可能。。。)
2段階認証の設定
すこし詳しい内容のPDFファイルを作成したので下記から参照できるようにしておく。