暗号通貨.py

ビットコインやブロックチェーンの技術に衝撃を受け、プログラミングの勉強を開始。現在はPythonを勉強中。

雑感

二段階認証サービスGoogle Authenticatorはスマホが使えなくなったらどうなるの?

2016年2月20日

私のiPhoneがおかしくなりました。

以前お酒を飲んで酔っぱらって落としてしまい、画面にヒビが入ったのが原因かと思われます。

一応画面には写るものの右端はレインボー柄だしこれはマズイ。

もはやヒビの(かけてません)生活に欠かせないモノとなったスマートフォン。

真っ先にやばいと思ったのは、LINE使えなくなったらどうしよう、あの子とこれからどうやって連絡とったらいいんだろう?

Google Authenticatorってそういえばデバイスに設定されているよな・・・

!!!!!!!!!

ご存知ない方のために、Google AuthenticatorはGoogleが提供している二段階認証アプリです。

サービスログイン時にID、パスワードに加え、6桁のワンタイムパスワードの入力を義務付けることでセキュリティを高めています。

今ではDropboxやFacebookなどの有名サービスでも利用されています。

設定時にiPhoneやAndroid、BlackBerryなどのスマホで各サービスが提供するQRコードを読み取るか、セキュリティコードを入力することで、デバイスの登録が行われます。

で、何が問題なのかと言うと、

Google Authenticatorで登録したサービスにログインする際、登録したデバイスが壊れる、紛失などによって使えなくなった場合そのサービスにログインすることができなくなるリスクがあります。

Dropbox?Facebook?そんなのどうでもいい。

私のビットコインが使えなくなるかもしれない!

そんな恐怖に襲われました。

ビットコイン関連のサービスは素晴らしいことにセキュリティに注意しているサービスが多く、ほとんどがGoogle AuthenticatorやSMSメールによる二段階認証の設定を推奨しています。

私は設定可能なサービスには全て二段階認証を設定していました。これは自らの資産であるビットコインを守るためです。

ビットコインは銀行が守ってくれるわけではありません。自分のビットコインは自分で守るのです!

熱くなってしまいました。

前置きが長くなりましたが、結局知りたいのはGoogle Authenticatorで二段階認証を設定しているサービスで、もしスマホが使えなくなったらどうなるのか?ということです。

先に結論だけ申し上げると「サービスによる」となりました。

Google Authenticatorについて詳しく見ていきたいと思います。

スポンサーリンク

adsense

スポンサーリンク

Google Authenticatorの仕組み

Google Authenticatorの仕組みについてはコチラの記事がわかりやすかったです。

2 段階認証は本当に安全なのか調べてみたーはったりエンジニアの備忘録より

要点だけ。

・ワンタイムパスワードを生成する仕様は HOTP と TOTP の 2 つ

・Google AuthenticatorはTOTP

・安全な方法でサーバ側とクライアント側で同じ秘密鍵を共有

・共有した秘密鍵と UNIX Time を用いて同じ計算方法でワンタイムパスワードを求める

 

サーバ側とクライアント側で同じ秘密鍵を共有しているため、この秘密鍵がもし盗まれたり、見られたりすると二段階認証を破られる可能性があるとのことです。しかし現実的には難しく、扱いに注意すれば二段階認証はセキュリティ的に安全であると言えそうです。

では問題のスマホが使えなくなったらどうなるの?です。

スマホが使えなくなったらどうなるの?

もしスマホが使えなくなったら、基本的にはGoogle Authenticatorでログインすることはできません。

というより、できてしまうと二段階認証の意味あんまり無いですもんね。

大事なのは他にログインする手段があるのか?です。

Google Authenticatorを設定しているけど、SMSメールや電話番号による確認などの代替手段でログインできるのかということです。

これはGoogle Authenticatorを利用しているサービスによります。

例えば、GoogleアカウントのログインはGoogle Authenticatorを設定していても、

・テキストメッセージ

・電話番号

・バックアップコード

この3つのどれかがあればできます。もちろん事前に登録しておかないといけませんが。

ですから事前にSMSアドレスやバックアップコードを取得しておくべきでしょう。

ソフトバンク→auなどMNPでキャリアを変更する場合などは、キャリアメールが届かなくなる恐れがあるので特に注意しましょう。

他にはWordPressなどはバックアップコードの保管を推奨していて、Google Authenticatorでログインできなくてもバックアップコードを入力すれば使えるようです。

その場合も、バックアップコードを先にメモや保管している必要があります。

私にとって重要なビットコイン関連サービスについては、Google Authenticatorを設定していると、スマホがないと基本的には各サービスにログインすることができず、問い合せするしかないようなことになりそうです。

 

感想

 

インターネットやスマートフォンが生活に欠かせない存在となっている今、セキュリティ対策は避けて通れない道となっています。

iPhoneが壊れて困ったことになったので調べてみましたが、スマホを失くしたらマジでヤバいという結論に至りました。

ある程度、利便性とセキュリティはトレードオフの関係なのかなと思いますが、これからスマホファーストになる時代なのは明らかで、スマホ紛失や破損のリスクをあらかじめ考えておくことは必要だと切に感じました。

そういえば、本日自動車のボルボが物理的な鍵を無くして、スマホを鍵代わりにするとのニュースを発表していましたが、これにしてもスマホを失くしたらどうするの?って感じですよね。車開かないとかなったら洒落になりませんよね。

http://headlines.yahoo.co.jp/hl?a=20160221-00000004-rps-bus_all

・参考記事

 

https://support.google.com/accounts/answer/185834?hl=ja&topic=1099588&ctx=topic#phone

http://blog.manabusakai.com/2014/10/two-factor-auth/

 

日本で一番簡単にビットコインが買える取引所 coincheck bitcoin

-雑感