アカウント名:
パスワード:
2段階認証すれば完全にソーシャルハックと物理的盗難がなければほぼ問題ない事はわかるわけですけれど
2段階認証だと・対応してないアプリとかどうすんの?・ケータイ/スマフォ壊れたらおしまいじゃんと言う事があってどうも踏み切れません。
とりあえず今は複雑なパスワードにすることで対応していますけれど、みなさんこのあたりどう折り合いつけているんでしょうか?
・ケータイ/スマフォ壊れたらおしまいじゃん
それには、事前にバックアップ コード [google.com]を印刷しておくなりして、という事にはなるんだけど、そこまで意識せずに設定しちゃう人は多いだろうなぁ。
バックアップコードをどうやって保管しようかなぁ……そうだ! Gmailのアカウントにメールしておけばどこでも見られるぞ!
と、本気で一瞬考えてしまった。
2段階認証にしたらFirefoxを起動する度に認証コードのメールが届いてうざーっとなりました。なんだろうこれ?と思って、Googleアカウントにアクセスしそうなアドオンなどを中心にチェックしてみたらGmail Managerを切ると大人しくなる所までは判明。が、対処する術がないのでアドオン削除する事にしました。
クッキーをクリアすると、その症状が出るそうです。
自分の場合は、それとは別のクッキーをクリアする拡張を入れてたのが原因でした。どちらを取るか悩んだ末、拡張を削除することにしました。
意気揚々と二段階認証にして、wanderlust で Gmail が読めなくなって早々に二段階認証を外したアカウントがこちらになります…。
アプリケーション固有のパスワードを発行してそれをぶち込んでやればアクセスできますよ。スマートホンでも、認証アプリがうまく動かない時とかもこれを使えば大丈夫です。
が、セキュアレベルは下がるということですよね。アプリ側で乱数文字列を確認できれば流用できるということでしょうから。もちろんWEBから無効にすることはできますが。
wanderlust ではいつも Gmail フォルダにアクセスするときパスワードを手入力していて、これを変更してアプリケーション固有のパスワードを使うのは面倒だなあとか思いつつ、この際だから elmo-passwd-alist-save でパスワードを保存しちゃおうか、という気持ちになりました。
しかしながら今度は SMTP auth のところで、これまでであればパスワードの対話が始まるはずのところで、唐突に
SMTP response error: 535, "5.7.1 Application-specific password required. Learn more at http://support.google.com/accounts/bin/answer.py?answer=185833 [google.com] o5sm19771443paz.32"
となってお手上げですよ。というわけで二段階認証を外しました (本日二度目) 。
二つ目のアプリケーション固有パスワードを作ったら、あっさり通りましたわ…。
アプリケーション固有のパスワードの取得の画面で「このパスワードを記憶しておく必要はありません。」と有りますが、逆に言うと、「1度しか使えない」パスワードなのでは無いでしょうか?
Googleの説明のどこにもそうは書いてありませんが、2度以上使えるなら、「記憶しておくべき」とか言うはずです。
>・ケータイ/スマフォ壊れたらおしまいじゃん既に認証されたPCがあれば、そっちから二段階認証をOFFにしたりはできるんじゃないの?バックアップ用の電話番号も設定で着るみたいだね。
メインとサブのPCとバックアップの電話番号を用意しておけば、複数のPCとケータイ/スマフォが同時に壊れるという可能性はかなり低いのでは。
しかし、>そこまで意識せずに設定しちゃう人は多いだろうなぁ。という意見に同意。
実際にHDDがクラッシュするまでデータのバックアップを取らない人は、意外に多いということだな。自分も含めて。orz
・ケータイ/スマフォは持ってないのでそもそも無理じゃん
固定電話でもいけるのでは?
Googleさんに固定電話番号お知らせするのがどうも・・・・
使い捨ての電話番号とかありませんかね。10分間だけ、指定した電話番号に転送してくれるサービスとか。
自分的な重要度は、 E-mailアドレス>>電話番号なので、E-mailアドレスを知られてる時点で、電話番号なんてどうでも良いと思ってたり。
そんなあなたに050あんしんナンバー [ntt.com]
使い捨てじゃないけど、fusion ip-phone smartとかどないでしょ
音声通知なら固定電話も使えるよ。(skypeInみたいなのでも使えるかは知らん)
> ・対応してないアプリとかどうすんの?アプリケーション固有のパスワードを発行する方法があるhttp://support.google.com/accounts/bin/answer.py?hl=ja&ctx=ch_b%2F... [google.com]
> ・ケータイ/スマフォ壊れたらおしまいじゃん認証済み端末があれば、普通にメールアドレス変更すればよろしい。壊れて捨てたなら知らん
# 二段階認証はつど認証するのではなく、ハード単位で認証です。
この固有のパスワードって英字のみの16桁みたいなんですが強度的にどうなんだろうと心配になります。極力増やさないようにするしかないんですかね。
利用してみましたが、単語でもない意味をなさない乱数だから、アタックするにしても総当りぐらいしかないだけで。ベタの確率そのものでしょう。
設定したアプリそのものから読み取られるとか、平文で流すアプリの途中をパケット盗み見される以外現実的ではないでしょう。
メインのアカウントを操作するためのパスワードとして使えるならアウトだけど。
・対応してないアプリとかどうすんの?
「アプリケーション固有のパスワード」でアプリごとに別々のパスワードが生成できます。
総当たりでやってるとは思えないのでパスワードを必要以上に複雑にしても対策にはならないでしょうね
複数持っていればサブの認証先が作れるのと、(すでに指摘があるとおり)最終手段としての印刷用パスコードで担保、という形でしょうねぇ。故障して取り替えたら、認証済PC等からの認証方法変更で対処、かと。
# 音声でのワンタイムパスワード通知は、いざとなれば携帯電話以外の電話機が指定できるというのも。# まぁ、とはいえ、携帯電話以外持ってませんって人は多そうだが。。。
とりあえず手順を一通り読めばいずれも対応方法は書いてあります。
個人に対する攻撃でなければ総当り攻撃的な手法は採られないと思われるので、パスワードそのものに関しては辞書攻撃に強いパスワードにするくらいしか対策法はないのかなぁと。ただ、今回はパスワードの強度に関係ない攻撃の可能性がありそうなので、そこは自分が気を付ける以外になさそうです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
とりあえず2段階認証、なのは分かるけど… (スコア:0)
2段階認証すれば完全にソーシャルハックと物理的盗難がなければほぼ問題ない事はわかるわけですけれど
2段階認証だと
・対応してないアプリとかどうすんの?
・ケータイ/スマフォ壊れたらおしまいじゃん
と言う事があってどうも踏み切れません。
とりあえず今は複雑なパスワードにすることで対応していますけれど、みなさんこのあたりどう折り合いつけているんでしょうか?
Re:とりあえず2段階認証、なのは分かるけど… (スコア:2)
・ケータイ/スマフォ壊れたらおしまいじゃん
それには、事前にバックアップ コード [google.com]を印刷しておくなりして、という事にはなるんだけど、そこまで意識せずに設定しちゃう人は多いだろうなぁ。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
バックアップコードをどうやって保管しようかなぁ……
そうだ! Gmailのアカウントにメールしておけばどこでも見られるぞ!
と、本気で一瞬考えてしまった。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:2, 興味深い)
2段階認証にしたらFirefoxを起動する度に認証コードのメールが届いてうざーっとなりました。
なんだろうこれ?と思って、Googleアカウントにアクセスしそうなアドオンなどを中心にチェックしてみたら
Gmail Managerを切ると大人しくなる所までは判明。
が、対処する術がないのでアドオン削除する事にしました。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:3, 参考になる)
クッキーをクリアすると、その症状が出るそうです。
自分の場合は、それとは別のクッキーをクリアする拡張を入れてたのが原因でした。
どちらを取るか悩んだ末、拡張を削除することにしました。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
意気揚々と二段階認証にして、wanderlust で Gmail が読めなくなって早々に二段階認証を外したアカウントがこちらになります…。
Hiroki (REO) Kashiwazaki
Re: (スコア:0)
アプリケーション固有のパスワードを発行して
それをぶち込んでやればアクセスできますよ。
スマートホンでも、認証アプリがうまく動かない時とかも
これを使えば大丈夫です。
が、セキュアレベルは下がるということですよね。
アプリ側で乱数文字列を確認できれば流用できるということでしょうから。
もちろんWEBから無効にすることはできますが。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:2)
wanderlust ではいつも Gmail フォルダにアクセスするときパスワードを手入力していて、これを変更してアプリケーション固有のパスワードを使うのは面倒だなあとか思いつつ、この際だから elmo-passwd-alist-save でパスワードを保存しちゃおうか、という気持ちになりました。
しかしながら今度は SMTP auth のところで、これまでであればパスワードの対話が始まるはずのところで、唐突に
となってお手上げですよ。というわけで二段階認証を外しました (本日二度目) 。
Hiroki (REO) Kashiwazaki
Re:とりあえず2段階認証、なのは分かるけど… (スコア:3, 参考になる)
二つ目のアプリケーション固有パスワードを作ったら、あっさり通りましたわ…。
Hiroki (REO) Kashiwazaki
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
アプリケーション固有のパスワードの取得の画面で
「このパスワードを記憶しておく必要はありません。」
と有りますが、逆に言うと、「1度しか使えない」
パスワードなのでは無いでしょうか?
Googleの説明のどこにもそうは書いてありませんが、
2度以上使えるなら、「記憶しておくべき」とか言う
はずです。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
>・ケータイ/スマフォ壊れたらおしまいじゃん
既に認証されたPCがあれば、そっちから二段階認証をOFFにしたりはできるんじゃないの?
バックアップ用の電話番号も設定で着るみたいだね。
メインとサブのPCとバックアップの電話番号を用意しておけば、複数のPCとケータイ/スマフォが同時に
壊れるという可能性はかなり低いのでは。
しかし、
>そこまで意識せずに設定しちゃう人は多いだろうなぁ。
という意見に同意。
実際にHDDがクラッシュするまでデータのバックアップを取らない人は、意外に多いということだな。自分も含めて。orz
Re: (スコア:0)
・ケータイ/スマフォは持ってないのでそもそも無理じゃん
Re:とりあえず2段階認証、なのは分かるけど… (スコア:2)
固定電話でもいけるのでは?
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
Googleさんに固定電話番号お知らせするのがどうも・・・・
使い捨ての電話番号とかありませんかね。
10分間だけ、指定した電話番号に転送してくれるサービスとか。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
自分的な重要度は、
E-mailアドレス>>電話番号
なので、E-mailアドレスを知られてる時点で、電話番号なんてどうでも良いと思ってたり。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
そんなあなたに050あんしんナンバー [ntt.com]
Re: (スコア:0)
使い捨てじゃないけど、fusion ip-phone smartとかどないでしょ
Re: (スコア:0)
音声通知なら固定電話も使えるよ。
(skypeInみたいなのでも使えるかは知らん)
Re: (スコア:0)
> ・対応してないアプリとかどうすんの?
アプリケーション固有のパスワードを発行する方法がある
http://support.google.com/accounts/bin/answer.py?hl=ja&ctx=ch_b%2F... [google.com]
> ・ケータイ/スマフォ壊れたらおしまいじゃん
認証済み端末があれば、普通にメールアドレス変更すればよろしい。壊れて捨てたなら知らん
# 二段階認証はつど認証するのではなく、ハード単位で認証です。
Re: (スコア:0)
この固有のパスワードって英字のみの16桁みたいなんですが
強度的にどうなんだろうと心配になります。
極力増やさないようにするしかないんですかね。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:4, 参考になる)
95n = 26mから、
n = m (log 26 / log 95) = 約0.72m
なので、英字小文字のみの16文字のパスワードの強度は、思いつく限りの文字を均等に使った11~2文字と同じぐらいですね。
小文字のみでそこそこ長いランダムなパスワードというのは意外と強力な割に入力しやすいので、wifiとかの入力回数が少ない場面で多用してます。
ちゃんと検討した事は無かったのですが、m/nは1.4ぐらいなので、小文字のみのパスワードを使う場合は、記号も全部使った場合に「これで安全」と思える長さのおおむね1.5倍ぐらいにしておけばOK、ということになりますね。あくまで、徹底的にランダムな文字列の場合のみの話ですが。
Re:とりあえず2段階認証、なのは分かるけど… (スコア:1)
利用してみましたが、単語でもない意味をなさない乱数だから、
アタックするにしても総当りぐらいしかないだけで。
ベタの確率そのものでしょう。
設定したアプリそのものから読み取られるとか、
平文で流すアプリの途中をパケット盗み見される以外
現実的ではないでしょう。
メインのアカウントを操作するためのパスワードとして使えるならアウトだけど。
Re: (スコア:0)
・対応してないアプリとかどうすんの?
「アプリケーション固有のパスワード」でアプリごとに別々のパスワードが生成できます。
Re: (スコア:0)
従来と同じパスワード認証で認証できるパスワードをランダムに作成できます。対応していないアプリには、それを使って認証させます。
POP3 で使うとメーラなんかに覚えさせちゃうことになると思いますので、そのパスワード文字列は一度画面に表示されたあとは、再度表示させる手段はありません。
パスワードは適当なラベルをつけて複数作成・管理することができ、個別に破棄にできますので、接続クライアントごとに変えて何かあやしいことがあれば、その都度破棄して新しく作るって形になります。
> ・ケータイ/スマフォ壊れたらおしまいじゃん
複数の手段があるので、同時に全部いっちゃわなければ代替手段はなにかあるはずです。
Re: (スコア:0)
総当たりでやってるとは思えないので
パスワードを必要以上に複雑にしても対策にはならないでしょうね
Re: (スコア:0)
複数持っていればサブの認証先が作れるのと、
(すでに指摘があるとおり)最終手段としての印刷用パスコードで担保、という形でしょうねぇ。
故障して取り替えたら、認証済PC等からの認証方法変更で対処、かと。
# 音声でのワンタイムパスワード通知は、いざとなれば携帯電話以外の電話機が指定できるというのも。
# まぁ、とはいえ、携帯電話以外持ってませんって人は多そうだが。。。
Re: (スコア:0)
とりあえず手順を一通り読めばいずれも対応方法は書いてあります。
Re: (スコア:0)
個人に対する攻撃でなければ総当り攻撃的な手法は採られないと思われるので、
パスワードそのものに関しては辞書攻撃に強いパスワードにするくらいしか対策法はないのかなぁと。
ただ、今回はパスワードの強度に関係ない攻撃の可能性がありそうなので、そこは自分が気を付ける以外になさそうです。