タイトルのとおり。
金曜夜に晩酌しながらYouTubeを見ていたら、パソコン(Mac)に「Apple Accountにアクセスできません」というポップアップメッセージ。
再ログインを試みるも「認証できません」というエラー。
Macの場合は、設定アプリ→Apple Account→サインインとセキュリティ でアカウントにログインするのだが、これが認証エラー。Touch IDでログインしようとしたらエラー。ポップアップにパスワードを入れてもエラー。
Web(Firefoxだと開けないのでSafariから)からログインしようとすると、PassKeyでログインしようとしたらエラー。パスワードログインしようとしてもエラー。
かなり困った状態
幸い、携帯(iPhone)の設定からログインをトライしたら、こちらはFaceIDでログインに成功。そこからパスワードを変更。数分後には、ウェブにも、その新しいパスワードでログイン(スマホに2要素認証が飛んでくる)。
パソコン、ウェブ、スマホでのログインを確認。念の為に、カードと銀行口座をチェックしたが、被害は確認できなかった。
幸い、アカウントは回復でき、被害は見つかっていない
反省点としてはパスワードの使いまわし。たぶん、どこからか流出したパスワードを使ったブルートフォースアタック(無差別攻撃)に被弾してしまったのだろう。
現代において、Apple Account、Google Accountを守ることは、非常に重要。単なるITツールではなく、金融にも結びているし、他のサービスの認証の起点にもなっている。もし、それらがダメージを受けたら(盗用される以外に、BANされることも含めて)、日常生活でも、経済的にも、被害はとても大きい。そして、それを回復させる方法はほとんど無い。
パスワードを使い回さない
すくなくとも、重要アカウントと一般アカウントを分け、 重要アカウントのパスワードは使い回さない。
一般アカウントは、パスワードが必要な場合は、できるだけパスワードマネージャの自動生成するパスワードにする。パスワードマネージャのパスワードは重要アカウント(Apple/Google)に保管される、という階層構造になる。
はやく、パスワードレスの方法(PassKey)が普及してくれないかな。
多要素認証を設定しておく
認証要素としてスマホを登録できる場合は登録しておく。ただし、SMS認証が飛んでくる場合は、国外生活の場合、詰むので、選べる場合はメールに認証コードが飛んでくるように設定。
Apple Accountの場合は復旧用連絡先を設定する。
復元コードを取得して、紙または別の方法で保管しておく。
YubiKeyを購入して登録する
Google Account はログイン方法の一つとしてYubiKeyを登録できる。
Apple AccountはYubiKeyを登録する場合は、他の方法ではログインできなくなるので、紛失を防ぐために2つのYubiKey登録が必要となる。
解説:パスキーについて
現代では、パスワードによる認証は、使い回し&流出攻撃などに弱く、被害が多発し、安全な認証とはいえない。
代替手段として「パスキー」という認証手段がある。サービスによってサポートしていない場合もあるが、使える場合は設定しておきたい。
サービスがパスキーをサポートしている場合、スマホ(パソコン)内にサービス専用のデジタルキー(パスキー)が生成される。認証が必要な場合は、そのパスキーを自動的にサービスに送信して認証を行う。
パスワードは不要。ただし認証情報がスマホに入っているのでスマホ必須。
SSHの公開鍵認証みたいなものだ。ここで、パスキーを使うときに生体認証を使う(Face IDなど)、パスキーはサービスごとに生成されるので他のサイトに送信されない(フィッシング対策)、パスキーはiCloud, Google Cloudなどで同期される(デバイス紛失時にも復活できる)、という仕組みが組み合わさってて、安全性と利便性を担保している。
デバイスが生体認証をサポートしていない場合(パソコンなど)の場合は、QRコードが表示され、それを(パスキーが入っている)スマホのカメラでスキャン→スマホの生体認証→パスキー送信→認証、という流れになる。
パスキーの保管庫として、スマホ、Apple Account、Google Accountはますます重要な位置づけとなる。
上述のように、これらの認証の起点・保管庫となる重要アカウントは念入りに保護し、それ以外はパスキーやパスワードマネージャなどで自動管理するという階層型管理になっていくだろう。
関連記事
0 件のコメント:
コメントを投稿