Webサービス

ブラウザアドオン型パスワード管理サービス「LastPass」で二要素認証を設定してみた

どうも、ものぐさなんで気分が乗ったときに一気に記事を書き溜めてる@kuronamaです。

LastPassのセキュリティ対策

あまり詳しく覚えてないが、3年ほど前からブラウザのパスワードをアドオン型のパスワード管理サービスである「LastPass」で管理している。

LastPass - パスワードマネージャ、フォーム記入、パスワード管理

「LastPass」はブラウザのアドオンを通じて入力されたバスワードをオンラインで管理するサービスだ。そのためLastPassへのログインIDとパスワードさえ覚えて入れば、後のパスワードなどは全て忘れてしまっても問題無い。名前通りのサービスだ。
LastPassの魅力はパスワード管理だけでなく、柔軟なランダムパスワードの生成機能やフォーム自動入力やセキュアノートなどがある。対応環境も豊富でWindows・Mac・Linux、それらで利用される代表的なアドオンがあり、またiOSやAndroid用のアプリも存在する。
またよく比較されることの多い1Passwordと違い、PC環境では単独のアプリケーションを立ち上げる必要が無いため、なるべく不要なアプリケーションを入れたくないといった端末には最適だと思う。

そんなLastPassだが過去に"データベースの一部に不正なアクセスがあった恐れがある"ということで一部のユーザのマスターパスワードを強制変更するという事態があった。

LastPassがセキュリティ問題の恐れにより、ユーザーにマスターパスワードの変更を通達 : ライフハッカー[日本版]

完全なセキュリティを築くのは無理な話なので仕方ないとは思うが、まさしくセキュリティのためのIDとパスワードを保護するはずのサービスでこのような事態が発生したため当時のインパクトはかなりデカかった。

だがこの騒動から数ヶ月後(具体的にいつ頃か分からないが)に、LastPassは2要素認証を導入したらしく現在のセキュリティ面はかなり強固になっていると思われる。
自分もこのLastPassの2要素認証の存在に先日気付いたので早速導入してみた。

Google Authenticator

設定方法は結構簡単でGoogleの2要素認証アプリを使って行う。
あ、ちなみにGoogleの2要素認証はアプリを使う方法と、予め設定した携帯メアドなんかにコードを送信するものがあるのだが、これは前者で使うアプリを用いたものだ。
利用するのは以下。

Google Authenticator (Version 1.1.4.755) App
カテゴリ: ユーティリティ
価格: 無料 (最新価格はStoreで確認してください)
リリース日: 2010/09/20
現Ver.の平均評価: (3.5 / 27件の評価)
通算の平均評価: (3.5 / 27件の評価)
 

やり方はそれほど難しくはない、以下のサイトを参考にしてもらうといいかも。

satoshi2000 blog: 乗っ取り防止!LastPassを使用している人は二段階認証を!

設定を行うとGoogle Authenticatorに、Googleの2要素認証コードの他にLastpassのコードが表示されるようになる。
これらのコードは有効期限が1分程度で再生成される。ログインの際はアカウントのパスワードの他にこのコードの入力が必要になるため、仮にパスワードが盗まれても自分のGoogleアカウント用に設定したGoogle Authenticatorが入った携帯端末さえ確保できていれば不正アクセスを防ぐことができる。逆に携帯端末を紛失した場合でもアカウントのパスワードが分からなければとりあえず不正アクセスは防げる。

ただ自分が普段使う端末で毎回コード入力するのが面倒な場合は、ログイン時にチェックを付けることでその端末は信頼済みとして扱い次回からパスワードのみでログインできるようにすることができる。この辺はGoogleの2要素認証と同様だ。
Googleの場合もそうなんだけど、この信頼済みの扱いをどう判定しているのかはちょっと分からない。流石に詐称できるMACアドレスなんかではないだろうが…。

まとめ

去年Googleアカウントの不正アクセス騒ぎが起こるちょっと前に2要素認証を設定していたためGoogleアカウントについては安心だったが、LastPassについてもこれでようやく安心して使うことができる。
ちなみにDropboxでもほぼ同様の手順で2要素認証が行えるので利用している方は設定しておくと良いだろう。

深緑|Dropboxが2要素認証を開始

-Webサービス