2段階認証機能を使用して所有ドメインをもっと安全に管理

インターネット上でのドメイン名の管理において重要なことの一つはレジストラのウェブサイトへのログインに2段階認証を設定することです。今回は2段階認証とは何なのか、何故パスワードを使用するだけのログイン方法よりも安全なのかを説明したいと思います。

================

Gandi.netではアカウントへのログイン時に以下に説明する2段階認証機能や物理キー(U2Fキー)を使用した認証機能も提供しています。ドメインを管理しているアカウントを安全に管理したい方は Gandi.net をお試しください。 (ドメイン移管でサポートが必要な場合やドメイン価格についてご不明な点がある場合はお気軽にお問い合わせください)

================

皆さんはパスワードを使用してのメールやSNS、銀行口座アカウントへのログインを毎日行っていると思います。パスワードを毎回使用する理由はご存知の通り、自分ではない第三者が自分の個人情報が盗まれるのを防ぐためです。パスワードを入力することで、自分自身をその使用しているサービス上で認証しており、パスワードは認証のための一つの要素になるのです。(「認証する、 authenticate」という言葉は自分の身元を証明する、という意味で使用されます)

パスワードの使用は比較的安全な反面、パスワードという存在自体が既に自分自身が「知っている」ものであるため、何らかの方法で何者かによって知られてしまう可能性があります。2段階目の要素(自分が持っているものや指紋や顔など自分自身を示す要素)を加えることで、その認証をより強固で信頼のできるものにすることができます。

2段階目の認証を加えることは新しいコンセプトではなく、昔からあるものです。例えば、銀行口座の確認のためにATMに行った時に、ATMカード(自分が持っているもの、1段階目要素)だけではなく、自分が設定したPIN番号(自分が知っているもの、2段階目要素)も入力するはずです。こうすることで、あなたのカードを持っている人でもPIN番号を知らない場合、またはPIN番号を知っていてもカードを持っていない場合はお金を盗むことはできません。銀行口座に手を出すためには両方の要素を知っている必要があります。

ワンタイムパスワード

アカウントにログインする時の2段階目の要素として一回だけ機能するパスワードを使用するという方法があります。ユーザー名とパスワードでログインをする時に、追加で別のパスワードやコードを入力する必要があります。一番簡単な方法は自分だけがアクセスできるメールやスマートフォンのテキストメッセージでパスワードやコードを受信する方法です。

しかし、スマートフォンやメールアドレスが第三者の手に渡り悪用されてしまう可能性もあります。上級者向けには Time-based One-Time Password (TOTP)を使用する、というオプションもあります。TOTPは秘密のアルゴリズムで現時刻をもとに毎数十秒に新しいパスワードを生成するというもので、アカウントにログインする時に毎回新しく生成されたパスワードを使用する必要があります。

Gandiでは最初にこの2段階認証機能の提供を始めました。TOTPを使用した2段階認証の設定方法をこちらから確認してみてください。

https://docs.gandi.net/ja/account_management/security/totp.html

Universal Two-Factor (U2F)

ワンタイムパスワードは一つ欠点があります。それはフィッシング詐欺や中間者攻撃などの第三者からの攻撃を防ぐことができないということです。フィッシング詐欺とは本物と見間違うように作成された偽のウェブサイトに誘導され、自分の個人情報であるユーザー名やパスワード、ワンタイムパスワードを入力してしまうもので、中間者攻撃は発生頻度は低いですが似たような犯罪行為のことを指します。

例えば、誰かがあなたを盗聴していると仮定してみましょう。自分は気づかず、誰かが自分の会話を聞いている状況です。ワンタイムパスワードを使用していたとしても、それを入力した時点でその第三者が必要な情報を抜き取ってしまいます。

こういったケースは公開鍵を使用した暗号化技術を使用する、という解決策があります。これは”https”のTLS/SSL技術と似たような暗号化技術で、誰も盗聴していない状態で正しいウェブサイトで正しいパスワードが使用されていることを確実にします。これを「U2F (Universal Two-Factor authentication)」と呼びます