東京都府中市、九段下のWEB制作会社Maromaroのブログです

2021.11.08

oyuco

2段階認証、設定していますか? バックアップコードが超重要だった、の話

2段階認証、設定していますか? バックアップコードが超重要だった、の話

こんにちは!Maromaroのディレクターoyucoです。

さて、メールやSNS、インターネットの様々なサービスを使用する際にアカウントを登録して利用されていることと思います。 パソコンやスマホを使うにもアカウントが必要で、パスコードや生体認証でのログイン認証による本人確認を求められます。 弊社では業務でSlackやZoom、Backlogなどさまざまなツールを使用していますが、それらもすべてログインが必要です。

お客様の情報を扱う際のセキュリティ対策例

例えば、あるお客様のイントラネットへのログイン認証のパスワードは3か月ごとに変更しています。このパスワードの変更を忘れると管理者にパスワードロック解除依頼しなくてはならないため、必ず忘れないようにリマインド設定して対応しています。

また、あるお客様のサイトを更新する際は、支給されたトークンのワンタイムパスワードでサーバに接続してからCMSにログインして更新作業を行います。トークン交換時の再設定やCMSログインパスワード定期更新なども必要でそれはそれで手間ですが、お客様の情報を扱う上でこのようなセキュリティ対策は必要なことと理解しています。

重要なデータや情報を扱うとなるとIDとパスワードによるログイン認証だけでなく、2要素認証や2段階認証などのより安全な仕組みの利用、セキュリティ強化が重要で、日々の業務で使用しているツールやサービスも可能な限りのセキュリティ対策をして利用しています。

ある日突然、ログインできません

ある日、ほぼ毎日使っているサービスにいつものようにすんなりログインができず別の方法での認証画面が表示されました。なぜかたまにこのようなことがありますが2段階認証を設定しているので大丈夫です!
タブレットの認証アプリでワンタイムの認証コードを表示してログインできましたが、また数か月かしばらくして認証を求められたので、認証コードでログインしようとしたところ、数日前にタブレットがまったく起動しなくなり初期化をしていました。
認証アプリはインストールしていたのですがそのサービスの設定をすっかり忘れており認証コードが表示できないのでログインができません。
でも大丈夫、そういうときのためにバックアップコードというものが用意されています。

スマホを変えた同僚が同じようにログインできなくなった際にバックアップコードを控えていたことでログインできたということがあって、必ずバックアップコードを控えるようにと社内通達もあったのです。その際に控えたはずなのですが、それがどうしても見当たりません。パスコン内を「バックアップコード」で検索かけたり、ノートのメモも探しましたが見つかりません。

完全にお手上げで、結局サービス管理者にメールでログインできない経緯を説明して本人確認と2段階認証解除申請などのやりとりで数日が経過、この間サービスが使えないという事態で社内スタッフに迷惑をかけることになってしまいました。

また、サービス提供サイドの担当者にはそのサービスでバックアップコードも用意しているにもかかわらず、こういうユーザーへの不毛な対応をしなくてはならなかったことを考えると大変申し訳なく、大いに反省、猛省しました。

2段階認証設定してバックアップコードの取得が大事

あらためて、サービスやツール使用時のセキュリティ強化はもちろん重要なので2段階認証設定してバックアップコードを取得したまではよかったのですが、そのバックアップコードの保管までが大変重要だったと当たり前の話ですが学習しました。

結局その後、最初に控えたはずのバックアップコードが出てきました。必要な時に出てこないあるあるな話ですが、別のパソコンに保存されていて検索かけても見つかるはずもなく・・・。
無意識にいつも使用しているパソコン以外に保存しなくてはと考えたようですがまったく覚えていない、うっかり忘れもいいところです。

バックアップコードはこれ

こんなことがあって、GoogleやMicrosoftサービスも含めて見直しました。 そのバックアップコード、取得にはそれぞれのサービスによっても違うので割愛しますがこんなのです。 

Google、バックアップコードの保存

Microsoftは回復用コードというらしく、またまたややこしい。

Microsoft、快復用コードの保存

まとめ

さてこのバックアップコード、ノートにメモしてまた別のパソコンにも保存しましたが、また保存したことや保存場所を忘れないといいのだけど。
またきっと忘れたころに認証を求められて、そんな時に限ってスマホを買い替えたりやなんやかんやでまたログインできないと大慌てしないように、自戒もこめてブログに残すこととしました。

わたしのように大事にならないように、この機会にいろいろ使っているサービスのログインやセキュリティを見直してみてください。バックアップコードちゃんと保存してるか、その認証コードはどこに保存しているかも含めて確認してみてはどうでしょう。

以上、Maromaroのoyucoでした。