1Passwordのアップデートにより、iOSアプリに時間ベースのワンタイムパスワード(略してTOTP)が導入されました。ワンタイムパスワードは通常、2要素認証(2FA)の2要素目として使用されます。このテーマについては、このコラムでも何度も取り上げてきました。しかし、1Passwordの開発元であるAgileBitsの賢明かつ誠実な投稿で指摘されているように、2要素目は必ずしも2要素目とは限りません。
TOTPにはシードコードが必要です。このシードコードは、正確な現在時刻を含むアルゴリズムによって変換され、通常6桁の短いコードに変換されます。TOTPを提供しているサイトでTOTPを使用するには、登録手続きが必要です。この手続きでは、2次元QRコードをスキャンし、ワンタイムバックアップキーまたはリカバリキーを生成します。QRコードは、ユーザーとサイトの両方が保持するシードをグラフィカルに表しています。(一部のサイトでは、シードをタップ可能なコードとして提供している場合もあります。)
Googleは、アプリ経由でTOTPを導入した最初の主要ウェブサイトであり、現在も提供しています。新しいパソコンやブラウザからログインする場合、あるいはGoogleのセキュリティアルゴリズムが要求するその他の状況では、この要素の入力を求められます。Google Authenticator、Authyなどのアプリと同期のエコシステム、あるいは1Passwordのこの新しいオプションを介して、最新の時間制限付き数字列を表示し、入力します。ウェブサイトは入力された数字がその導出と一致することを検証し、アクセスを許可します。
1Password 5.2 for iOSにTOTPを追加するのは簡単です。まず、新しいエントリを作成するか、既存のエントリを編集します。
TOTPはGoogleが使用する以前から存在し、以前は主に企業や金融機関のサイトで使用されているセキュリティカードやドングルに搭載されていました。私はPayPalとE*Tradeで同じ機能を持つキーホルダー型のデバイスを所有していますが、これらはプラスチックとシリコンでできた専用の部品で、小さな液晶画面が付いており、シードはハードウェアにロックされています。ログインを認証するには、実際にそれらを所持している必要があります。
すべてのステップが要因となるわけではない
多要素認証の枠組みでは、要素は「あなたが知っていること」「あなたが持っているもの」「あなたが何者であるか」のいずれかであるとされています。これらはそれぞれ、典型的にはパスワード、何かを受信または生成する物理デバイス、そして生体認証(指紋や網膜スキャンなど)に相当します。多要素認証システムでは、これらの要素のうち少なくとも2つ、場合によっては3つすべてを選択します。
次に、QR コード アイコンをタップしてシードをスキャンするか、テキスト バージョンを入力する必要があります。
問題はこれです。私やセキュリティ関連の記事を書いている多くの人々、そしてセキュリティ業界で働く多くの人々(全員ではない)は、「2段階認証」と「2要素認証」という用語を同じ意味で使用しており、混乱を招いています。技術的には、すべての2要素認証は2段階認証を必要とします。しかし、すべての2段階認証が2要素認証を採用しているわけではありません!今回の1Passwordのアップデートは、この違いを強調しています。
多くの場合、リスクは、リモート攻撃(誰かがあなたに近づかなくてもサイトやアカウントをクラックする)と、物理アクセス攻撃(誰かがあなたのデバイスを入手する)に分かれます。1Password では、稀な状況下(あるいはむしろ間違った状況下)でリモート攻撃を受ける可能性もあります。
秘密フィールドには、リンクまたはテキスト シードが表示されます。
真の二要素認証では、二つの要素は物理的に分離されています。例えば、パスワードは頭の中にあり、SMSメッセージは携帯電話経由で届いたり、Apple IDログインの認証のためにAppleから「iPhoneを探す」通知が届いたりします。あるいは、パスワードは1Passwordに保存していますが、ワンタイムパスワードのロック解除にはAuthyとTouch IDを使用します。AgileBitsは、両方の要素を同じデバイスに保存するとメリットがなくなると主張しています。一方に生体認証を使用し(認証に失敗した場合は1Passwordには保存しない、固有で強力なパスワード) 、もう一方にパスワードを使用すれば、十分に分離できると私は考えています。
要素を一箇所に統合すると、物理的な侵入に対する耐性という利点は失われますが、遠隔地からの侵入に対する耐性は維持されます。また、物理的にアクセスできたとしても、パスワード(または指紋)が必要になります。
「完了」をタップして編集を終了すると、パスワード入力を表示するたびに、有効期間の残り時間を含む現在の TOTP が表示されます。
読者の皆様、この素晴らしい出版物をお読みくださった皆様の高度な知識によって、前の段落を読んで「へえ、」と舌打ちされたかもしれません。確かに、最高のセキュリティ対策のためには、誰もが第二段階認証を有効にし、正しく設定するべきです!しかし、多くの人が脆弱なパスワードを選択し、パスワードの解読を抑制したりパスワードデータの取得を防いだりする手段が必ずしも万全ではないため、たとえ第二段階認証としてワンタイムパスワードを使用する方が優れているとしても、何もしないよりはずっと良いのです。
AgileBits が TOTP トークンを組み込んだということは、面倒や管理上の問題のために 2 段階認証を有効にすることを省略していた人も、今ではこれを実行し、アカウントのセキュリティ侵害に対する整合性を大幅に向上できることを意味します。
1Password の新機能をリモートから悪用する方法は1つありますが、可能性は低いと考えています。1Password の同期機能を Dropbox(全バージョン)または iCloud(iOS/OS X のみ。OS X では Mac App Store 版の 1Password が必要)と連携して使用している場合、誰かがあなたの Vault(すべてのパスワードデータを暗号化したパッケージ)のコピーを入手する可能性があります。もしその人があなたのクラウド認証情報、Vault、そしてパスワードを持っていた場合、2段階認証パスワードと TOTP も入手できてしまうでしょう。
満たすべき条件はたくさんあるので、Dropbox と Apple ID はどちらも真の 2 要素認証方法を提供しているため、その可能性を減らすために Apple ID (および iCloud アクセス) と Dropbox の両方で 2 要素認証を有効にすることをすでに提案しています。
リスクを比較検討する際には、その容易さが潜在的な悪用リスクを上回るかどうかを検討する必要があります。あなたにとっては、真の二要素認証は必須かもしれません。私もほとんどのアカウントでそう感じていますが、すべてのアカウントでそうではありません。家族、友人、同僚など、あなたが非公式に勧める相手にとっては、リモートアクセスを阻止する単一ソースソリューションである1Passwordは、大きな前進となるでしょう。
