さくらインターネットの2段階認証を有効化しました

このウェブサイトはさくらインターネットのさくらのVPSを契約して、自分でWebサーバを構築・運用しています...と以前書いたっけかな？何度も同じことを書いていたらすみません(苦笑)。

今回はセキュリティのお話です。昨今はインターネットサービスへの不正アクセスが多くなり、IDとパスワードだけで守るのは難しくなったきました。IDとパスワードの組み合わせは無数にありますが、無限ではありませんので、成功するまで何度も挑戦すればいつかは破られてしまいます。それとパスワードを盗聴された場合、コンピューターの高性能化に伴って暗号を解読するまでの時間が短くなってきています。TVドラマや映画で目にすることがあるあのシーンは、虚構ではなく現実世界で起こりつつあります。

サーバー本体に関してはSSH(セキュアシェル)という仕組みで、遠隔からログインして操作していますが、このSSHへのアクセスをIPアドレスで制限したり、Fail2Banで弾くようにしています。一方、さくらインターネット側から提供されている会員メニュー(管理用コントロールパネル)は、Webインターフェースのみで、入り口はIDとパスワードだけです。会員共通の入り口なのでIPアドレスでアクセス制限をすることは難しいのです。その代わりに会員毎に2段階認証を設けることでセキュリティの強化を図っています。

今回は認証アプリ(TOTP)を使って2段階認証を設定しました。説明ではGoogle Authenticator(Google認証)のみの紹介となっていますが、TOTP(RFC6238 Time-based One-time Password Algorithm)に準拠した認証アプリであれば使えるようです。実際のところ、Authyは問題なく使えました。

セキュリティに完璧(100%)は無い。如何にして100%に近づけるか？それも大きく利便性を損なわずに...だ。

油断・慢心が最大の敵ということをお忘れなく。

パスワード？そんな面倒くさいものは要らない

という人は論外ですけど、高齢者の中には4桁のパスコード(ロック)さえ掛けていない人が多いんじゃないかな？本人は盗まれても平気と思っているそのスマホの電話帳(電話番号)も、大事な個人情報なんですけどねぇ...？