dmarcianはユーザーアカウントの二要素認証を発表します。この新しいセキュリティ機能は、AuthyやGoogle Authenticatorのようなアプリを使ったトークンベースの認証や、YubikeyやNitrokeyのような物理的なセキュリティキーを可能にするFIDO Universal Second Factor (U2F)を可能にします。Googleの最近の研究論文「Security Keys」を読むことができる:U2Fベースの二要素認証のメリットについては、Googleの最近の研究論文「Security Keys: Practical Cryptographic Second Factors for the Modern Web」をご覧ください。
セットアップ方法
2FAを設定したい場合は、アカウントにログインし、アカウント設定ページにアクセスしてください。二要素認証セクションまでスクロールダウンしてください。
「Add 2FA Device」をクリックすると、どのタイプのデバイスを追加するかを尋ねるダイアログが表示される。
認証アプリ経由のトークン
トークン・ベースの認証は、アプリでスキャンできるQRコードを提示することで機能する。一度スキャンすると、そのアプリは数分おきにコードを生成し、ログイン中にプロンプトが表示されたときに入力する。トークン・ベース認証は、一般的にモバイル・アプリケーションと関連していますが、デスクトップ・アプリケーションもあります。
iOSとAndroidデバイス(腕時計を含む)の両方に対応する選択肢が多数あり、最も人気のあるオプションのいくつかをリンクしています。
デスクトップでは、スタンドアローンのアプリかブラウザの拡張機能としてのオプションもある。
- Authy – MacOS、Windows(アプリ)、Linux(ブラウザ拡張機能)
- Yubico Authenticator – MacOS、Windows、Linux(アプリ)
- 1Password – MacOS、Windows(アプリ)、Linux(ブラウザ拡張機能)
- Bitwarden – MacOS、Windows、Linux(アプリと拡張機能)
認証アプリケーションをセットアップしたら、「Token via Authenticator App」を選択し、「Next」をクリックします。複数のトークン認証アプリまたはデバイスをセットアップできるため、デバイスに名前を付けるプロンプトが表示されます。このデバイスを識別できるように名前を付けて、[次へ]をクリックします。
次に、QRコードの画像と確認ボックスが表示されるダイアログボックスが表示されます。認証アプリを開き、QRコードをスキャンします。モバイル・デバイスの場合、アプリはカメラにアクセスし、デスクトップ・アプリケーションの場合、画面の一部をハイライトする必要があります。下記は一例であり、あなた独自のコードが表示されます。
画像をスキャンすると、アプリに 6 桁のコードが表示されます。そのコードを Authenticator App Code ボックスに入力し、Verify & Create をクリックします。コードは 1~2 分ごとに変更されるため、初回で動作しない場合は新しいコードを使用する必要があります。ほとんどの認証アプリには、コードの有効時間を示すインジケータがあります。
アプリの認証が完了したら、アプリケーションを使用する準備は万端ですが、最後の安全対策があります。携帯電話を紛失したり、置き忘れたりした場合、アカウントからロックアウトされるのは避けたいもの。パスワード・マネージャー・アプリケーションのような安全な場所に保管するか、鍵のかかったファイルに印刷してください。デバイスを紛失しない限り、これらを使用することはありません。コピーするか、ダウンロードしてください。
次回ログイン時に、Verify Your Login画面が表示されます。アプリを開き、画面に表示されたコードを入力してログインを完了してください。必要に応じて「バックアップコードを使用」をクリックすることもできます。
FIDOユニバーサル・セカンド・ファクター(U2F)セキュリティ・キー
FIDO2 U2F は、物理的なセキュリティキーを使用してオンラインサービスにアクセスするためのオープンスタンダードで、コンピュータにドライバやソフトウェアをインストールする必要はありません。これは、より良いユーザーエクスペリエンスと極めて高いセキュリティを同時に実現する2FAへのアプローチである。これはめったにない快挙だ。ログインし、プロンプトが表示されたらキーをタップするだけだ。
2017年、Googleは85,000人以上の全従業員にSecurity Keysの使用を義務付け、この変更により従業員に対するフィッシング攻撃が完全になくなったとしています。ここdmarcianでは、同じ従業員ポリシーを持っており、私たちの顧客がこの機能を利用できることに興奮しています。私たちはYubikeysとNitrokey FIDO U2Fの両方でテストしましたが、U2Fと互換性のあるキーやデバイスであれば何でも動作するはずです。
FIDO U2Fは、WebAuthn技術を使用してGoogle Chrome、Mozilla Firefox、Microsoft Edge、Opera、Apple Safariでサポートされています。Google ChromeとMozilla Firefoxは2018年初頭からこの技術をサポートしていますが、現在古いブラウザを使用している場合は利用できない可能性があります。ブラウザが対応していない場合は、インジケーターでお知らせします。
設定するには、「FIDOセキュリティ・キー」を選択し、「Next」をクリックします。
次にデバイスに名前を付ける。複数の2FAデバイスをアカウントに関連付けることができるので、それぞれに特徴的な名前を付けましょう。
「Next」をクリックすると、ブラウザにセキュリティキーを入力するダイアログが表示されます。完了するとダイアログは消え、確認メッセージが表示されます。
キーが認証されると、アプリケーションを使用する準備が整います。
しかし、最後の安全対策があります。万が一、キーを紛失したり、置き忘れたりした場合、アカウントからロックアウトされたくはないでしょう。これらは安全な場所に保管してください。セキュリティ・キーを紛失しない限り、これらのコードを使用することはありません。コピーするか、ダウンロードしてください。
次回ログインする際にも、ブラウザが同じ要求をしてきますので、セキュリティ・キーをタップしてログインを完了させてください。複数のキーをお持ちの場合は、どのキーでもかまいません。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
