2011/12/26

LastPassグリッドマルチファクタ認証を使ってますか?

以前LastPassがハッキング被害の可能性があったことは有名な話ですが、そのためかセキュリティに関しては結構力を入れている感じがします。

LastPassが提供している認証方法にグリッドマルチファクタ認証というものがあり、どういう内容なのかを調べたのでメモしておきます。

調べても英語圏の検索結果しかでないので、日本人はこういった話題に興味がないのかな・・・

2011.12.26 記事を修正しました。

LastPassのセキュリティ対策

LastPassが力を入れている一つにセキュリティ対策があるようで、その中で自分が見つけた認証方法が3つありました。

指紋認証を除くセキュリティ機能は今まで使っていたRoboformにはない機能なので非常に魅力的です。

  • 指紋認証
    Roboformでも搭載されている、指紋リーダを使った認証機能。
    指紋が薄い人は難しいですが、一般的な人であれば十分な機能ですね。
  • グリッドマルチファクタ認証
    通常のユーザ名/マスターパスワードで認証した後、表に書かれた4文字を入力して認証する方法。
    新生銀行でも同じようなことをしてますね。
  • Sesameマルチファクタ認証
    LastPass Sesameアプリを使って、通常のユーザ名/マスターパスワードとワンタイムパスワードをかけ合わせて認証する方法。

グリッドマルチファクタ認証を使ってみた理由

3つの認証方法のうち、グリッドマルチファクタ認証を使ってみました。

使ってみた理由は3点。

  1. 大手銀行でも使っている認証方法
    新生銀行もグリッドマルチファクタ認証を使っています。
  2. 自分が認証しているパソコンのみLastPassにアクセスできる
    自分が認証していないパソコン以外はLastPassのオンラインデータにアクセスできない。
  3. 約168万通りの4文字で認証する
    グリッド(表)は10行26列上に英数字(英小文字26文字+数字10文字)が書かれています。
    その中から4文字を抽出して入力しますので、考えられる文字列は1,679,616通り(36^4)になります。
    怖くてやってませんが、数回間違えるとロックダウンすると思います。
    ※違ってたらごめんなさい・・・

どうやってグリッドマルチファクタ認証を使うのか?

  1. オンライン上の設定でグリッドマルチファクタ認証を有効にする
    image
  2. グリッドを印刷する
    image
  3. 認証したいパソコン上のLastPassにログイン
  4. 該当するグリッドの文字を4つ入力し、認証する
    入力文字の例として、2のグリッドを使った場合、L2はL列3行目の文字=cを入力する。
    image
  5. 次回からグリッドマルチファクタ認証をしたくない場合は、「このコンピュータを信用して、2番目の認証フォームを要求しない」にチェックを入れる。

万が一グリッドをなくしてしまった場合

この認証方法の弱点でもあるグリッドを紛失してしまった場合。

グリッドマルチファクタ認証画面からグリッドを無効にすることが可能です。

  1. グリッドマルチファクタ認証画面から無効にするリンクをクリックする
  2. ユーザ名のメールアドレスにグリッドを無効にする確認メールが届く
    image
  3. メールに書かれているURLに48時間以内にアクセスする

認証済みのパソコンを確認する

今現在、どのパソコンを認証したかが確認できます。

オンライン上の設定画面に「Trusted Computers」タブがあります。

そこに認証済みパソコンの一覧が表示されます。

万が一、おかしなパソコン名があったら無効・削除を行いましょう。

image

まとめ:問題はあるけど、マルチファクタ認証は非常に魅力的な機能

いくらグリッドマルチファクタ認証を導入しても、ユーザ名/マスターパスワードが流出してしまうとグリッドマルチファクタ認証をメール1つで解除できます。

そうなると簡単にLastPassのオンラインデータにアクセスできる仕様です。

これだと、あんまり意味無いような気が・・・

自分なら、メールに書かれたURLにアクセス→数種類の質問・答えによるパスワードリマインダー→グリッドマルチファクタ認証を解除、の流れにするんだけどな~

このあたりの対策がどうなっているか、LastPassに聞いてみたい気がします。

ちょっとネガティブな書き方をしてしまいましたが、ユーザ名/マスターパスワードを流出しなければグリッドマルチファクタ認証は非常に魅力的な機能です。

流出の話をしてしまえば、Roboformだろうが1passwordだろうが全て問題がありますから・・・

LastPassにはその点を期待しているので、是非頑張ってもらいたいと思います。

何にしても、個人のデータは自分でしっかり守りましょう~


2011.12.26 追記

Sesameマルチファクタ認証のテストをやりながら思ったんですが、よく考えると登録しているメールが最終砦になっており、メールアカウントにアクセスされなければグリッドマルチファクタ認証もSesameマルチファクタ認証も問題はありません。

そう考えるとLastPassのマルチファクタ認証はよく出来ていると思います。

まだ未導入の方は是非検討してみてください。オススメです!

なお、訂正した文章は<delete>タグをつけて、そのまま残しておきます。自分への戒めのために・・・

スポンサーリンク

スポンサーリンク