連携サービスのパスワードを直接入力させるアプリには要注意!2段階認証で不正使用を防ごう

Googleなど多くのネットサービスでは、サービスの機能を応用してアプリを作るためのAPIという仕組みが用意されており、様々な対応アプリが作られている。
これらのアプリにアカウントを登録する手順としては、外部のWebブラウザを起動して認証コードの取得を求める方式や、Androidのアカウント管理機能を呼び出して連携の許可を求める方式が望ましい。アプリに直接パスワードを入力することが無いので、パスワードを盗まれて悪用されたりする心配が少ないからだ。

だが、アプリの画面上に直接パスワードを入力するよう求める古い方式のアプリもまだ存在する。画面上にブラウザを埋め込み表示してサービスの認証ページを表示するタイプのアプリも、偽物の認証ページを表示している可能性があるので、信用はできない。

このようなアプリを安心して使いたければ、サービスのアカウント設定で「2段階認証」を有効にしておこう。ログインの際に毎回変化する確認コードの入力を求められるようになるので、万が一パスワードを盗まれても、確認コードの受け取りや生成のためのアプリを乗っ取られない限りアカウントを乗っ取られずに済むぞ。

だが、認証ページの埋め込み表示ではなく独自の入力欄を表示するタイプのアプリや、一般的な電子メールクライアントからGmailアカウントにアクセスする場合は、確認コードによる二段階認証が利用できない。そこで、Googleの2段階認証には、これらのアプリでログインするための「アプリケーション固有のパスワード」を発行する機能が用意されているぞ。
ただし、このアプリケーション固有のパスワードは、確認コードによる2段階認証ほど安全ではないので注意が必要だ。盗み取られてもアカウントを丸ごと乗っ取られることはないが、メールやカレンダーなど多くの機能を不正利用されてしまう可能性があるのだ。
不審なアプリの使用は避け、有害プログラムや盗聴などへの対策も怠らないようにしよう。




アプリに直接パスワードを入力しない認証方式なら安心


001

AndroidでGoogleのサービスを利用するアプリは、このようにAndroidのアカウント管理機能を呼び出して、APIの使用許可を求める場合が多い。パスワードを入力する必要がないので手軽だし、不正使用される心配も無い。


002

Google以外のアカウントの場合も、このようにブラウザを起動して認証画面を表示するタイプなら、アプリにパスワードを盗み取られる心配は無い。念のため、アドレスバーに表示されているURLが正しいかを確認してからログインしよう。



2段階認証なら内蔵ブラウザで認証を求めるアプリでも安心


003

このような内蔵ブラウザでログイン画面を表示して連携の許可を求めるアプリもまだ存在する。表示されているログイン画面が本物かどうかを確認できないので、偽アプリによるパスワード盗難が心配だ。


004

Googleのアカウントの設定で「2段階認証」を有効にしていれば、IDやパスワードとは別にログインのたびに変わる確認コードの入力が必要になるので、偽のログイン画面でパスワードを盗み取る有害アプリだったとしても、アカウントを乗っ取られずに済む。



アプリケーション固有のパスワードで独自パスワード入力欄のアプリを利用


005

2段階認証を有効にしたアカウントで、独自のユーザー名・パスワード入力欄でログイン情報を保存するアプリを使いたい場合、Googleの2段階認証の設定画面で「アプリケーション固有のパスワードの管理」画面に進もう。


006

このような管理画面が表示されたら、「名前」欄にアプリ名など分かりやすい名前を入力して「パスワードを生成」ボタンを押そう。


007

このような画面で、生成されたパスワードが表示される。1回しか表示されないので、アプリ側での設定が完了するまでは閉じないように注意しよう。


008

独自のログイン情報入力欄を持つアプリを起動し、ログイン情報の設定画面に進んだら、ユーザー名やメールアドレスの欄には通常のユーザー名やアドレスを、パスワードの欄には先ほど表示されたパスワードを入力しよう。


009

「アプリケーション固有のパスワードの管理」画面の下部には、発行済みパスワードの一覧が表示される。「無効にする」を押せばそのパスワードが無効になるので、使わなくなったアプリのパスワードは無効にしておこう。

関連記事

2013年06月15日07時51分 公開 | カテゴリー: セキュリティ | キーワード: | Short URL
このエントリーをはてなブックマークに追加

最新記事