Googleが使い勝手の良い二段階認証を導入。PCのサインインをスマホ側で承認可能に 87
ストーリー by hylom
確かに使いやすい 部門より
確かに使いやすい 部門より
あるAnonymous Coward曰く、
Googleが新たなログイン手法「Google Prompt」を発表した(CNET Japan、Google Apps updatesブログ、Engadget Japanese)。
従来よりセキュリティを高めるためとして使われていた二段階認証は、専用のスマートフォンアプリを利用して生成するか、もしくはSMSで送信されたパスコードをPCで入力するというもの。しかし、このようにわざわざパスコードを入力するのは面倒であった。
今回新たに発表されたGoogle Promptでは、ログインをしようとした際にあらかじめ登録しておいたスマートフォンに「ログインしようとしていますか?」等のメッセージを表示して確認を行うもの。ここで「はい」をタップするだけでログインが完了する。
2段階認証の難点 (スコア:2)
2段階認証は機種変したときとかスマホ壊れたとかの移行や代替手段確認しとかないと、いざとなったらめんどうなんですよね。
サービスによって手段が違ったりするんで何かとめんどくさい。
# 以前スマホ壊れた時にちょうど2段階認証が必要になったんだけど、記録しておいたバックアップコードがなぜか無効になっててちょっと焦った
Re: (スコア:0)
> 2段階認証は機種変したときとかスマホ壊れたとかの移行や代替手段確認しとかないと、いざとなったらめんどうなんですよね。
> サービスによって手段が違ったりするんで何かとめんどくさい。
たとえばGoogleアカウントだと
・今回のスマホにポップアップが出るやり方、
・携帯へのSMS、
・オフライン認証コード生成アプリ(スマホ用)
・ワンタイムログイン用ナンバー(10個程度を払い出しておいてそれぞれ1度だけ使える、紙にメモでもしておけばOK)
など複数有効にしておいて必要に応じて変更して使えます
上記全部を一度に失うのは相当ありえない、というかその場合2段階認証にしていなくても大変なことになってるでしょう
Re: (スコア:0)
上3つは同じ機器であることの方が多いのでは?
Re:2段階認証の難点 (スコア:1)
ですね。
スマホが壊れたらアプリ認証、SMS認証が出来なくなりますね。すぐ予備機なり代替機に切り替えられればSMS認証は復帰できますが。
まぁスマホ壊れてバックアップコードも使えないとかマトモに管理出来てないボクみたいなクズは、ちゃんと調べてから使わないと何かあったとき痛い目みますね。
Re: (スコア:0)
サードパーティに二段階認証キーを複数の端末で同じ設定で表示出来るものがある
まあ、増やし過ぎるとセキュリティリスクになるけど
Re: (スコア:0)
> 上3つは同じ機器であることの方が多いのでは?
予備の概念を一切否定しなきゃいけない理由がないですね
スマホが壊れてもSIMが読めなくなっても回避手段があるのにそれを無理に否定する必要はないでしょう
それとも否定しなければいけない異常な精神状態の方ですか?
Re: (スコア:0)
「ことの方が多い」だから一切を否定はしてないよね?
良かった (スコア:1)
職場がgoogleホスティングのe-mailなんだけど、最近アカウントクラックが相次いだらしく二段階認証を強制化しようとしてて、ちょい困っていたところ。
Microsoftの二段階認証アプリと同じようになるのね。あれは楽なので。
Re: (スコア:0)
アプリパスワード+メーラーのほうが安全かもしれないけどね。
画面ロック (スコア:1)
画面ロックを設定していない、あるいはスワイプの場合、画面ロックの設定を見直すよう促されるようです。
Re:画面ロック (スコア:1)
画面ロックを別アプリでやっても
システム上はなし/スワイプにしていてはダメ、ですね。
肌身離さず? (スコア:0)
よのなか、スマートフォンを常に自分のそばに置いてる人が多いんだな。
なんにログインするのか知らないけどそのつどスマートフォンを取り出すなんて面倒でやってられない。
Re: (スコア:0)
トークンをいくつも持たされるのもかなわんですけどね。実際。
Re: (スコア:0)
いつも新しい端末からログインしなければならないというさだめにある人物でもなければ、
別に煩わしくもない。その端末からの初回のログインに必要なだけだから。
Re:肌身離さず? (スコア:1)
じゃぁおれだめだわ。
GoogleつかうPCは毎日VMをいれなおしてるから。
Re: (スコア:0)
まじっすか…すごいね
でもスクリプトとかくんじゃえば毎日の手間はないのか‥?
Re: (スコア:0)
小学校の時にクラスに一人くらいいたでしょ。
こういう変なこと言いだす奴。相手してほしくて寂しいんだよw
Re: (スコア:0)
仮想環境を使ってるのにスナップショットも知らない奴だもんなw
うちの2.3でも使えるのかな (スコア:0)
桁数少ないしSMS認証で別に不便してないけど
そもそも (スコア:0)
スマホのほうがセキュリティ低くないの?
低い側を確認に使うとかおかしくないでしょうか?
Re:そもそも (スコア:1)
話が理解できてないなら、黙って「二段階認証」でググりなよ……。
スマホさえあればログインできる、って話じゃない。
パスワード認証に加えて、連動しているスマホを物理的に所持している必要があるってだけ。
そもそも、なんでスマホの方がセキュリティ低いと思ったのか。
通常の手段ではroot権限が取得できないスマホの方が、一般的にはセキュアだと思うけど。
(PCも設定や使い方によっては、セキュアにできるんだろうけれど)
Re:そもそも (スコア:1)
言いたいことはわかるけど、セキュリティーアップデートが出ない場合に新しいOSに変えることが一般的なPCに比べ、スマホのOSは放置される傾向にある気がする。
企業だとXPは一層されたが、社有スマホを常にアップデートが出ている機種だけで維持している会社って珍しいと思う。
Re: (スコア:0)
Windowsだってユーザーが許可するか、特権昇格の脆弱性を悪用されない限り、管理者権限で動くことはない
Re: (スコア:0)
従前の方式を置き換えるんじゃなくて追加の要件にするなら
無意味ではあってもセキュリティの更なる低下にはならないかも。
まぁユーザは無意味な2段階目の認証に余計な労力を払わされるわけですが。
Re: (スコア:0)
2段階認証ならまあいいかなって感じだけど、Googleは電話でパスワードの再設定を可能にすることを推奨していて、その場合隙を見て電話を盗めばパスワードを再設定できる。
電話を受けるだけならスマートフォンのパスコードを解除する必要すらない。
Re:そもそも (スコア:1)
>2段階認証ならまあいいかなって感じだけど、Googleは電話でパスワードの再設定を可能にすることを推奨していて、その場合隙を見て電話を盗めばパスワードを再設定できる。
まあ、それを言い出したら、生体認証でも本人を誘拐拉致して脅迫すれば突破可能だしなあ。
(普段使っている)「スマートフォンを盗む」という行為をどれくらい困難なものだと捉えるかがポイントになるな。
すくなくとも言えるのは、単純なリスト型アカウントハッキング(流出したIDとパスワードで遠隔地からログイン)をはじめとする、単純な遠隔地からの攻撃には対抗できる、ということだ。
変わらない (スコア:0)
パスコードは16桁が一般的とかだったら話は別だが、現状は4~6桁程度でしょ。
ほとんど手間が変わらないじゃないのさ
その程度だったらパスコード入力でいいわ
その程度で使い勝手が良いとかいわれてもなぁ
Re:変わらない (スコア:2, 参考になる)
例えば従来のSMSを用いる方式では、端末にロックがかかった状態でもSMSのメッセージはロック画面に通知として表示され、
内容を一部読めてしまうため、不正に端末を入手した(or操作できる環境にいた)人物は、ロックの解除方法を知らなくても
二段階認証をパスできてしまう恐れがあった。
今回の方式はロックを解除しないと「はい」を押せないので、より安全だ。
Re: (スコア:0)
通知に内容を表示しないようにすれば済む
Re: (スコア:0)
他のSMSメッセージはロック画面から見たいというユーザーもいるだろう。
端末の使い方に影響を与えずにセキュリティを保てるようになったんだから、意味があることだ。
Re: (スコア:0)
意味があるかないかと言われれば、意味はあるんだろうけど、
メールは相手から送られてきて、見られてもいいかどうかは見るまでわからない。
他のSMSは見たいといっても、そちらに見られて困るものもあるだろうし、
セキュリティを考えるなら表示しないようにしておくべきだろう。
2段階認証を利用するような人はなおさら。
Re:変わらない (スコア:2)
> 通話機能のないWIFI専用Android端末や
> SMSなしデータ通信SIMをさしたAndroid端末でも2段階認証の道具に使えるようになることだろう
まあ、こちらは Google Authenticatorアプリを使えばこれまでも出来た。
時々掛かる (スコア:0)
ログインセキュリティ強化画面が邪魔臭くてしょうがない。
下手するとロック掛けられてアカウント潰されるし。
潰されたのは捨てアカウントだから良かったけど、重要アカは気をつけたい
Microsoftが先 (スコア:0)
マイクロソフトが結構前から同様の認証アプリ出してますね
そのうち○○社の認証アプリ、××社の認証アプリでドロワーが溢れる事になったりしないかは少し心配
Re:Microsoftが先 (スコア:1)
Microsoftが二段階認証を始めたのは2013年 [microsoft.com]。
Googleが二段階認証を採用したのは2011年 [blogspot.fi]。
Re: (スコア:0)
二段階認証を始めたのがどっちが先か、という話なんですか?
今回のような、スマホ側で確認するだけで自動的にログインされるタイプの認証方式のことを言っているのでは?
実際、今回の説明を見ても「Microsoftアカウント」アプリの真似っこだよね、としか思えないのだけど。
Re: (スコア:0)
二段階認証という括りではそうでしょうけど
TOTPじゃなくてスマホのプッシュ通知を使った認証についてはどうなんでしょうか
MicrosoftのはiOSアプリがなくてTOTPを使うしかなかった記憶があるのですが
Re: (スコア:0)
MSが先の時は話題にならない
MSが後の時だけ「また邪悪なM$がパクった!」と大騒ぎになる
Re: (スコア:0)
マイクロソフトの工作員も身元を隠さなくなったのなw
Re: (スコア:0)
なんですぐに、先かどうかで競うというか、批判のネタ投入したがるのか。
タップで認証、ってのはTwitterの方が早かったんじゃないかな。
未だにtwitterの2段階認証は公式アプリでしか使えない独自もの。
Re: (スコア:0)
お隣の国に似てきたということですよ。
Re: (スコア:0)
未だにtwitterの2段階認証は公式アプリでしか使えない独自もの。
この最後の一行でツイッターは最悪な企業になってしまう。
パスワードいらず (スコア:0)
ログインにパスワードを用いず、スマートフォンのみで認証が通るので、
監視カメラの網が敷かれた環境や周囲に人の多い環境でも安心してログインできます。
大学等でなかなか重宝している
スマートフォンのバッテリーが切れている場合は代わりにパスワード認証できるので、従来通りに。
上手く使いましょう
Re:パスワードいらず (スコア:1)
と思ったらそのコメントの機能が二段階認証にも使えるって話ね
ちゃんと読みます
Re: (スコア:0)
> スマートフォンのバッテリーが切れている場合は代わりにパスワード認証できるので、従来通りに。
おいおい、迂回方法が用意されているならそれは全然安全性を高めたことにならないだろう。
本当にわかってるのか?
Re:そもそもスマホ持っていませんが (スコア:1)
じゃあなんでわざわざスマホ認証の話題に?
Re: (スコア:0)
オフトピックは親コメの方じゃないの?
Re: (スコア:0)
音声通話しかできないダムフォンでも、二段階認証に使える。
Re:Android wearに対応する予定はどうなんすかね (スコア:1)
できるんじゃないの?
今も Google Authentictorアプリ(6桁のOATH TOTPコードが表示されるやつ)はAndroid Wear側で使えるし。
Re:Android wearに対応する予定はどうなんすかね (スコア:1)
> Google Authenticatorのwear版って、他人が腕時計を入手出来たら使えちゃうの?
他人が腕時計をフリックして表示させることはできるけど、親機が計算したTOTPを表示してるだけなので、親機と離れると使えない。
なので、大きくなるリスクはほとんどないかと。