希有日記|Keu Blog

LastPassのデータ漏えいをうけて、多要素認証(OTP)を設定した話。

LastPassのデータ漏えいをうけて、多要素認証(OTP)を設定した話。
こんばんは。 今日のお昼過ぎくらいにLastPassから何やら騒々しいメールがきておりました。

LastPass Security Notice


LastPassセキュリティに関する通知…。


パスワード一元管理サービスだけあって、”複数のサイトで同じパスワードを使い回してるから気をつけてね。”くらいのお知らせかと思ったら、どうやら違う様子。以下がメールの内容。


スクリーンショット 2015-06-16 18.49.00


[voice icon="https://www.keu.me/wp-content/uploads/2015/06/flat_asterisk_banner.png" name="LastPassちゃん(仮)" type="l"]ネットワーク上の不審な活動を発見したからブロックしたよ!暗号化されたデータが一部流出しちゃった!一部だよ!
私たちの暗号化アルゴリズムは本当に頑丈だからとにかく大丈夫!でも、やっぱり心配だからいつもと違う端末からログインした時には本当に貴方かどうか確認させてね!あとマスターパスワードをできたらかえてほしいです!心配かけてごめんね![/voice]

くらいの意味だろう。なるほど。


大問題じゃないか。


この”流出した暗号化データ”にはアカウントに設定されているメールアドレスやパスワードリマインダー、ソルト、認証ハッシュなどらしく、パスワードそのものが流出したわけではないものの、ソルトや認証ハッシュなどの大事そうな情報が流出しているということは決して安心できないだろう。


パスワード一元管理サービスは便利で、特にこのLastPassに関してはブラウザ上でプラグインとして動作し僕らにかわってユーザー名やパスワードを入力し、自動でログインしてくれるので一々入力する手間が省けてよい。


でも、便利の裏にはやっぱり危険が隠れているもんだな。 この流出がきっかけでLastPassアカウントにアクセスされちゃったら大変だ。 なんとかせねば。



多要素認証を利用しよう


というわけで、とりあえずパスワードがもしも判明してログインを試みられても大丈夫なように、多要素認証を設定、メールアドレスとパスワードにもうひとつ毎回変わるキーをプラスする。

今回はGoogleが提供するGoogle Authenticatorというアプリを使う。いわゆる電話番号や携帯キャリアアドレス宛に番号が送られてくるタイプとは違い、アプリを動かすためにスマートフォンは必須だ。あと、画面上に表示させたバーコードをスマートフォンで読み込むという過程において、パソコンが必要なので必ずパソコンで作業されたし。

Google Authenticatorのダウンロード


まず、以下リンクよりアプリをダウンロードする。

iPhone

Android

LastPass側の設定


さて、アプリがダウンロードできたらとりあえず放っておいて、LastPass側でGoogle Authenticatorを受け入れる設定をしていきます。

パスワード保管庫ページを開き、サイドバーメニューからアカウント設定→Multifactor Optionsタブの順にひらく。

My_LastPass_Vault

ずらっと並んでいるのは、多要素認証に使用できる外部サービスの一覧。 LastPass無料版を利用している僕が使えるのはGoogle Authenticatorと、Toopher、Duo Security、Transakt、そしてGridの五つ。

今回は、Google Authenticatorを使うので、同じ行の右端の鉛筆マークを押して設定画面を表示させる。 View your barcodeをクリックし、マスターパスワードの入力が求められるので入力。

My_LastPass_Vault
そうするとバーコードが表示される。

My_LastPass_Vault

そこで、先ほどダウンロードしたGoogle Authenticatorアプリを起動させ下の方に表示される「設定を開始」ボタンから「バーコードをスキャン」をタップ。

カメラが起動するので、画面上に表示されたバーコードを読み込みます。するとあっという間にワンタイムパスワードが発行されます。この6ケタの数字はあるルールに従って30秒おきにどんどん変わっていきます。すごいよね、これどうなってんだろ。

IMG_6844
さて、LastPassの設定画面にもどり、バーコード画面をとじ、有効欄の値を「はい」にし、更新ボタンを押す。

My_LastPass_Vault

もう一度マスターパスワードが求められ、入力すると次に早速ワンタイムパスワードを求めてきた。さすがです。

My_LastPass_Vault

My_LastPass_Vault
入力を終えて先ほどの一覧画面に戻ってきました。一番上の行が「有効」に変わっていれば設定は成功しています。それにしてもなんで上が”都道府県”なんや…。

設定完了


というわけで、自分の中ではまあ一件落着。

Googleアカウントではほぼすべてのアカウントで二段階認証をかけているのだが、肝心要のLastPassにかけてなかった。頭隠して尻隠さずってやつか。

今の所僕たちが身近にできるセキュリティとしては、こうしたワンタイムパスワードを含む二段階認証が一番強固で効果的だと思う。なにせ30秒毎にかわるのだから。

今回のアプリを使う方式は、QRコードの中に秘密鍵とメールアドレスが挿入されている。秘密鍵だけでワンタイムキーが生成できるのか、メールアドレスと両方必要なのかは分からないが、これらが何らかの形でバレてしまったら、いくら多要素認証だとしてもまったく意味をなさない。なぜならまったく同じルールで同じキーを生成できてしまうから。

そこらへん、うまくできてるんだろうけどさ。

ぼくについて

KEU (けう)
京都に住む男子学生。ガジェット系レビューを中心に気ままに書いてます。新しいもの好き、とくにApple製品は大好物です。趣味はピアノを弾くこと、写真を撮ること、そして寝ることです。

コメントをどうぞ

*
*
* (公開されません)

Facebook

Return Top