Google 2段階認証とアプリ固有のパスワードに関して

Pocket

数日前から Google アカウントが乗っ取られるという事例が発生しているようで、Twitter では私のフォロワーさんも被害に遭ったもよう。いろいろと調べてみると2段階認証にしていなかった方ばかりのような感じだったのだけど、そうでもないという方まで現れてしまいカオス状態。

原因が何であるかは Google からの発表待ちになるのだろうけど、2段階認証を行っていた私も念のためパスワードは変更することにした。先日「それなりのパスワード作れば、そうそう変更なんてしないでもええんとちゃうの」的な『覚えやすくて複雑なパスワードの作り方』なんてのを書いたばかりですが。

でまぁ、この事件を受けて有名どころのサイトの方々が2段階認証の設定方法をアップしまくってまして、それはそれで良いとは思うのだけど、それに伴う『アプリケーション固有のパスワード』に関する話を詳しく書いてるところはあるのだろうか、とか。なんだか有名どころの方々は iPhone がメインのようで、iPhone での Gmail の話しか書いていないような気がしないでもない。

ちなみに2段階認証への手順そのものに関しては、nanapi の『アカウント乗っ取りを防ごう!Gmailで二段階認証にする方法』を代表として紹介しておきますが、検索すればあちこちヒットするのでそれで。

というわけで『アプリケーション固有のパスワード』の話。

ざくっと書いてしまえば、ブラウザ以外からの(その他・各デバイスの)アプリケーションからのアクセスに必要なパスワードは、各アプリケーションごとに名前を決めて専用のパスワードを取得して、Google アカウントのパスワードではなく、そのパスワードを設定してアクセスするとイイヨという。

うわ、余計にややこしいな……私の場合を例に。

私が利用しているメインブラウザは MacBook 上の Firefox です。これで Google にアクセスしてログインする時は、いつものパスワードを利用します。2段階認証を有効しても同じ。(他のデバイスを含む)他のブラウザからのアクセスでも同じ。2段階認証を設定し、アクセスしてる PC が『信頼できるパソコン』として設定1 されてるならば、認証コードの定期的な登録も必要ないという感じ。

『信頼できるパソコン』のリストに入っていないデバイスのブラウザからのアクセスも通常のパスワードを入力してログインできるけど、定期的に認証コードの入力が求められるということ。

例えば Kindle Fire HD のブラウザ(Silk)から Google+ にアクセスした時、Gmail アドレスと通常のパスワードを入力してログインできるけど、初回は認証コードの入力が求められる。ログインできたら 30 日間は有効で、それが過ぎてからのログイン時にはまた認証コードの入力が必要という話。

上記 Kindle Fire HD の例で云えば、それも『信頼できるパソコン』として設定してしまえば認証コードなしでログインできるようになるはず……だけども、いつどこで紛失するかわからないデバイスでそれを設定するのは怖いのでやらない。いくら複雑なパスワードを採用していても、ブラウザにパスワードを記憶させていたら意味ないし2

2段階認証はそんな感じで、ブラウザからのアクセスに関する仕様という認識をしておいたら(今のところは)大丈夫じゃないかな。「信用設定していない PC 等からのブラウザでのアクセスには、通常のパスワードに追加で定期的な認証コード入力が必要だよ」という話。例外もあるかもだけど、まずはそういうことにしておこう。

さて、それではブラウザ以外で Google のサービスにアクセスする時は……。ここで出てくるのが『アプリケーション固有のパスワード』になります。例えばメールソフトで Gmail を受け取るであるとか、チャットクライアントで Google Talk に接続するであるとか、そういうケース。先日私は Thunderbird に Google カレンダーを表示させるというエントリを書いたけど3 、そのようなとき利用することになります。

アプリケーション固有のパスワードを設定する

私の場合、画像にある通りで Gmail 用に3つ、Google カレンダー用に1つで合計4つの設定を追加してます。名称は自身が分かるような名称で。名称を決めてパスワードを取得したら、それが利用するアプリケーション用のパスワードになります。

「Thunderbird で Gmail を受け取りたいから専用パスワード取得」を行って、Thunderbird で Gmail にアクセス。ログイン情報を確認されるので、Gmail アカウントとアプリケーション固有のパスワードを入力してアクセス。そんな感じ。ここでは通常のパスワードは使えません。

要するに Google サービスを利用するあたり、通常のパスワード入力では弾かれるなら『アプリケーション固有のパスワード』を設定しておけば良いんじゃないかい、ということです。こちらは設定してログインするだけでよくて、認証コードは関係ありません。何かヤバいことになったのなら、『アプリケーション固有のパスワード』を無効にしてしまえばヨイです。問題なくなったら再発行してアクセスすれば。

だらだら書いてしまったけど、ポイントは以下。

  1. 2段階認証してるしていないに関わらず、パスワードは変更しておきましょう。
  2. 2段階認証の設定後でも、云うほど煩わしい作業はないですよ。
  3. アプリケーション固有のパスワードは設定した後、メンテナンスフリーですよ。危険な状態が把握できたのなら、一旦無効にして再設定すればヨロシイですよ。
  4. 要するに思ってるほど面倒なこともでもないので、遅くともこの年末年始に設定したほうがヨイと思いますよ。
  5. ついでだから、アカウントアクティビティ(そのアカウントで何を行ったかわかる)のメールを受け取る設定をしておくとヨイかもしれません。こちらはアカウントの設定からどうぞ。

それにしてもほんと、なぜに乗っ取り事件が起きたのだろう。多くの人が利用しているサービスは狙われやすいのだろうけど、原因がわからないのは不安ですわな。ちなみに Dropbox も2段階認証を採用しているので、気になる人はそちらも一緒に設定しておくとヨロシイかと思います4

  1. 2段階認証を有効にしている状態で『2 段階認証プロセス』の最下段、詳細設定の項目を確認してください。 []
  2. 持ち歩くデバイスに関しては、デバイスそのものにパスワードを設定したり、アプリケーション起動にロックをかけるという設定が必要だと思う。 []
  3. Thunderbird と Google カレンダーと2段階認証 | 脳無しの呟き《土鍋と麦酒と炬燵猫》』を参照してください。 []
  4. Dropbox アカウントを2段階認証対応にする | 脳無しの呟き《土鍋と麦酒と炬燵猫》』を参照してください。 []