導入するだけでバフがかかる!
OTP/二次認証(2段階認証)サービスとは
ID/パスワードとは別にもうひとつ、「ワンタイムパスワード」と呼ばれる6桁の数字を用いてログインするシステム。
数字が固定のセキュリティカードと比べて、大幅にハッキングの危険性を減らすことができる。
ただしOTPも万能ではないので、普段から変なURL踏んだりしないように気を付けるのが一番大事。
と、当たり前のコトを書いてみたけど
リネに於けるOTPの導入の意義は、どちらかというと以下の要素。
OTPを導入するだけでAC-1、DR+1、MR+2が付く。
AC-1以外は期間限定サービスのはずだったが終了未定に変更。
導入は5分もあればできるので、これを利用しない手はない。
それ以外にも、OTPを導入することで、公式での面倒な認証手続きをOTP一つで済ませられるメリットもある。
公式OTPアプリ自体はスマホ用だが、WindowsPC上で動作するサードパーティ製ものを利用することもできる。
というわけでスマホを経由せず、PCだけでOTPを利用するための導入手順を紹介。
後からスマホに登録し、併用することも可能。
設定を持ち運び、別PC(ネカフェとか)で簡単に利用する手順も載せてます。
理屈とかいいから手っ取り早く設定したい人はタイトルに★がついた項目だけ読んでいけば何とかなる。はず。
★OTP導入の下準備
登録情報の確認
導入前に必ず「メールアドレス」「生年月日」「秘密の質問と答え」を確認しておく。
わからん人は公式にログインして「マイインフォ」→「プロフィールの設定と変更」を下の方までスクロールすると「会員情報修正」というボタンがある。そこから確認可能。
メアドと秘密の質問はOTP登録に必要。
あと登録時の不手際や、サイトのエラーで登録失敗となった場合はリネにINできなくなるため、公式の中の人に手動でOTP登録を解除してもらわなければならない。
その際に本人確認として上記の項目が全て必要になる。窓口の営業時間外、土日祝日を挟むとこのやり取りに大幅に時間を食うことになる。
万が一の事を考えるなら、やり取りを最短で済ませるために月~木の間にやるのがオススメ。
どれだけ万全にしても設定中にPCがブッ壊れない保証なんてどこにもないからね!
アプリの準備
2段階認証に対応したアプリをあらかじめ用意しておくこと。
スマホなら純正の「Google Authenticator」か、英語のみだが便利に扱える「Authy」あたり。
またスマホがなくてもPCだけで利用できる「WinAuth」というアプリがある。
Win10でも問題なし。
というわけで以下は「WinAuth」の導入手順。
WinAuthを選ぶメリット / デメリット
スマホではなくWinAuthを使うメリット/デメリットを軽く挙げてみる。
メリット
- PC1台で完結する
- USBメモリ等の外部メディアからでも起動できる
- 別PCに設定をコピーして使える
- バックアップが簡単に取れるのでPCがぶっ壊れても大丈夫
- 後からスマホにも登録したりできる
デメリット
- スマホと比べてセキュリティとしての質は落ちる
(OTPは別の媒体でやる事に意味がある) - 公式の解説がゼロ
(そのためのこの文章なわけだが)
WinAuthの導入自体は、できるだけ自宅の自分のPCでやるのが望ましい。
あとネカフェでも利用したいという人は、持ち運び用に別途USBメモリ等の外部ストレージを用意すること。
★WinAuthの入手方法
GitHubから最新版のWinAuth.exeを入手する。
トップページを下にスクロールすると「最新版のダウンロード」と書かれた場所があるのでそこから。
特にこだわりがなければ「安定版」でOK。
落ちてきたZIPファイルを解凍するとWinAuth.exeが出てくるので、わかりやすい場所に置いておく。
起動には別途Microsoft .NET Framework 4が必要。
入ってなかったらWinAuth起動時に入ってないヨ!ってエラーメッセージが出るんで、各自ググって入れてください。
★OTP利用手続きとWinAuthの設定
まずは公式サイトにログインし、右下のサポート→左側のセキュリティセンター→Google2次認証と進む。
「利用登録」ボタンをクリックして登録開始。
次の画面で認証キーの入力と秘密の質問の答えを求められる。見たまんまなので省略。
その次の画面。二次元バーコードと「CODE」と書かれた文字列が出てくる。
ここまできたらWinAuthを起動。
左下に「Add」と書かれたボタンがあるのでクリック。一番上の「Authenticator」を選ぶ。
こんな画面が出てくるはず。
Name欄は「ラベル」、アカウントを識別するための名前を入れる。
アカウントIDをそのまま入力するのはセキュリティ的にオススメしない。
なんか適当にクラス名でもキャラ名でもつけてください。
そして赤線で示してある上から2番目の欄に「CODE」の文字列を入れる。
コピペするのが確実。
2のChooseなんたらは、Time-basedのままでOK。
文字列を入力したら3のVerify~というボタンをクリックすると、4の欄に6桁の数字が表示されるようになる。
こんな感じ。
表示されたらOKをクリックする。入力したラベル名が表示されていればOK。
WinAuth側の初回登録時にOKを押すと、パスワードの登録を求められる。
WinAuthの起動時や設定をいじったりする時に必要になるので必ずメモること。
後で設定からパスを外すことも可能だが、その時にパスワード入力が必要。やはりメモは必須。
ここまでできたら一旦公式サイトに戻る。
「次へ」をクリックすると6桁の数字の入力を求められるので、WinAuth画面へ。
今つけたラベル名の右にある丸い矢印をクリックする。
6桁の数字が表示されるので、これを公式サイトにそのまま入力。
入力猶予自体は30秒より長いが、30秒経過すると数字が表示されなくなるので注意。
登録された旨のメッセージが表示されれば、公式側も登録完了。
ちゃんと入力しているのに認証されない場合、PCの時計がずれている可能性がある。
WinAuthのラベル上で右クリック→Sync Timeで直せる。
サイト上でエラーが出た場合は、時間を置いてもう一度試すこと。
無事登録が済んだら
他のPCでなんか使わないゾ!自宅専用だゾ!
って人は、WinAuthの歯車マーク→「Change Protection」→「Encrypt to only be useable on this computer」にチェックを入れておくと、データが暗号化され、そのPCでしか使えなくなるため安全性が高まる。
更にその下の「And only by the current user on this computer」にチェックを入れるとログインユーザー単位で制限をかけることもできる。
どこまでやるかはお好みで。
ただしPCがぶっ壊れると悲惨なので、後述のバックアップは必ず取る事。
公式のOTP登録解除方法
何らかの理由で登録解除をする場合は、登録済みのOTPアプリのワンタイムパスワードが必要になる。
解除の手順自体は、二次認証の利用登録ページから「利用停止」を選び、ワンタイムパスワードを入力するだけ。
OTPアプリが利用できない事態に陥った場合は、最初に述べたように公式に直接連絡して利用停止してもらう事になる。
スマホが故障した等でOTPアプリが使えない場合は、利用登録ページに問い合わせリンクがあるのでそこから公式に連絡すべし。
この場合も、本人確認として登録メアド、生年月日や秘密の質問が必要となる。
OTPを利用するなら、絶対に登録メアド、生年月日、秘密の質問の3つを忘れてはいけない!
★WinAuthのバックアップの取り方
右下の歯車マーククリック→Exportを選択。こんな画面が出てくる。
通常は一番上のパス付ZIPにチェックを入れて、パスワードを下のPasswordとVerify(確認)欄に入力。パスワードは読み込ませるときに必要になるので、失念しないように。
セキュリティ上当たり前の話だが、WinAuth自体の起動パスとは別にしておくこと。
PGPなんちゃらはわかる人だけ使えばいいです。わからないならおさわり厳禁。
一番下のBrowseをクリックすると保存場所を聞かれる。ファイル名はデフォルトで問題なし。
OKをクリックすると、現在WinAuthに登録されているOTP設定が全て入ったZIPファイルが生成。
このZIPファイルを読み込ませることで、登録したOTPを他のPCでも使えるようになる。
バックアップとして置いておくなら、USBメモリ等の外部メディアにでも入れておけばOK。
ちなみにZIPにもPGPにもチェック入れずにBrowse→OKと進むと、テキストファイルが生成される。
暗号化も何もされていない、本当にただの設定丸見えテキストファイル。
セキュリティ的なものは何もないので、これを保管する場合は自己責任で。
ちなみにZIPファイルの中身もこの生テキストになる。
バックアップの戻し方&他のPCへ設定コピー方法
バックアップの読み込みと、他PCへの設定コピーの手順は同じ。
あらかじめバックアップの手順でパス付ZIPファイルを生成しておく。
設定をコピーしたいPCでWinAuthを起動し、Add→Import。
設定ファイルの場所を聞かれるので先ほどのZIPを選ぶ。デフォルトのファイル形式でxmlが選ばれているので戸惑わないように注意。
あとはZIPのパスを聞かれるので入力するだけ。
スマホや別アプリで同じOTPを使用する
登録したいラベルを右クリック→Show Secret Keyを選ぶと、最初に登録する時に使った文字列とQRコードが表示される。
これを使ってスマホアプリ側で登録を行えば良い。詳しい手順は省略。
QRコードから登録すればラベルごとコピーできて便利。
つまるところ最初のCODEの文字列を保存しておけばいいわけではあるのだがセキュリティ的に以下省略。
一応後述のwinauth.xmlにも文字列が生で載っているわけではない。一応。
手軽に別PCやネカフェで使える「ポータブルモード」
スマホなしでネカフェでも使うならこれ。
ポータブルモード概要
WinAuth導入が済むと「C:\Users\(ユーザー名)\AppData\Roaming\WinAuth」というフォルダ内に「winauth.xml」というファイルが生成されている。
ここにもろもろの設定内容が入っている。
このwinauth.xmlをwinauth.exeと同じフォルダにいれてWinAuthを起動すると「ポータブルモード」となる。
このxmlファイルをコピーすれば、すでに設定済みのOTPをそのまま別PCで利用できる…というワケだ。
ちなみにポータブルモードで追加/削除/設定変更等を行った場合、元の場所にあるxmlではなく、一緒に入れてある方のxmlファイルが更新される。
注意点。
WinAuthの設定で「Encrypt to only be useable on this computer」にチェックが入っている状態でコピーすると別PCでは使えない。
必ずチェックを外した状態で一旦WinAuthを終了してから、2つのファイルをコピーすること。
ネカフェで利用するための具体的な手順
USBメモリに適当なフォルダを作ってWinAuthを入れ、同じフォルダに上述の「winauth.xml」を入れておく。
あとはUSBメモリから直接WinAuthを起動するだけ。
ネカフェ利用の場合、最低限のセキュリティとして起動パス&設定変更パスぐらいは有効にしておいたほうが精神衛生上良いかもしれない。
おまけ・ネカフェ利用時の注意
大昔に中の人も一度ネカフェが原因のハックを食ったことがあるので注意喚起として。
ネカフェは再起で勝手にリカバリがかかる所が多い。
が、自分できちんとやっておくに越したことはない。
- PCチェック
怪しいディスクが入ってないか?PC裏に怪しいUSBメモリが刺さってないか?という物理的なチェック。
これはOTP利用云々に関係なく、どんなネカフェでも電源入れたらまずやるべき事。
なんか見つかったら素直に店員を呼ぶべし。 - WinAuthのラベルの削除
導入をネカフェでやった場合や、バックアップから設定をインポートした場合は必ずラベルを削除してから退店すること。
単純にポータブルモードを利用しただけなら必要ない。
ポータブルモードの項で述べた通り、WinAuthのOTP設定は、WinAuthそのものではなく、PC内の特定の場所に保存されている。
このまま放っておくとWinAuthを入れ直すだけでOTPが丸見えになるので、手動で削除してやる必要がある。
やり方は簡単。WinAuthの画面の消したい物の上で右クリック→Delete。
退店前に必ず全部消しておくように。
不安ならPC再起動後にWinAuthを起動して、何も表示されないか確認すればOK。
以上、OTP関連…というかWinAuthに関する情報。
セキュリティバフ、真面目に超有能なので、リネをやる場合は是非正しく理解して導入を。