みなさんこんにちは。日本情報システム株式会社 ICTソリューション部の進藤です。
これから4回にわたり、Googleの2段階認証について掲載していきます。
今回は、Googleの2段階認証の概要をご紹介します。

概要

Googleの2段階認証は、「通常パスワード＋コード」または、「通常パスワード＋セキュリティキー」の2段階認証（2要素認証）を使用します。 （2段階認証、2要素認証について詳しく知りたい方は以前の記事「多要素認証とは」をご覧ください。）

「通常パスワード＋コード」の場合、通常のパスワードを入力後、携帯電話にコードが送信され（または認証システムのアプリからシークレットキーが生成され）、そのコードを入力する仕組みです。

「通常パスワード＋セキュリティキー」の場合、登録されている物理セキュリティキーをUSBポートに接続するだけでログインできます。

※Googleの2段階認証について詳しく知りたい方は以下Googleアカウントヘルプをご覧ください。
Google アカウントヘルプ｜2 段階認証プロセス
https://support.google.com/accounts/topic/28786?hl=ja&ref_topic=3382253

2段階認証が必要な理由

なぜ、2段階認証が必要なのか？

答えは簡単です。 パスワードを盗むことはみなさんが考えている以上に簡単だからです！

パスワードを盗む、というと何やらコンピュータに精通しているマニアがあれやこれや専門知識を駆使していそうなイメージですが、実は案外簡単な方法を用いることが多く、誰でも出来てしまうのではないか、というレベルです。例えば、次のような方法があります。（※いいことありません。決して試さないでください。）

• パスワードを書いた紙や付箋を盗んだり、背後から見て盗み取る
• 名前や誕生日、好きな言葉などを次から次へと入力してみる。
• 桁数が決まっていれば、全ての数字の組み合わせを入力してみる。（総当り攻撃）

パスワードを間違えた回数でロックがかかるような仕組みがない場合、総当り攻撃は特に危険です。
0から9までの4桁の数字の組み合わせは1万しかありませんので、頑張れば人の手でパスワードを割り当てることも可能です。（1万回目ではなく、1回目にアタリを引く可能性もありますので。。）
Googleパスワードは英数字の組み合わせだから大丈夫！という方、最近はディクショナリアタックなるものがあり、パスワードに設定しそうな単語が登録されている不正なシステムを利用することで、6文字のパスワード（21億7678万2336の組み合わせ）が15秒で破られてしまうこともあります。

Googleパスワードが盗まれたらどうなるでしょうか。Googleアカウントのパスワードを盗まれた場合、いわゆる「Googleアカウントが乗っ取られた」状態になります。
今やGoogleアカウントは様々なサービスと連携しています。たとえばショッピングサイトのログインにGoogleアカウントを利用していて、しかもクレジットカード情報をそのサイトに登録していたら・・・簡単にカードを不正利用されてしまいます。
もちろん、メールアカウントを踏み台にして、スパムメールを一斉送信されたり、ウィルスがばらまかれたりといった被害も考えられますので、さんざんな目に遭い、再起不能になることでしょう。

このように、自分のアカウントに重要な情報が登録されている場合、盗まれたことによって起こりうる最悪の事態を知っておかなくてはなりません。すると、ひとつのパスワードだけでは安心できない、多段階認証、多要素認証が必要！という考えに至るはずです。

まとめ

いかがでしたか。簡単ですが、Googleアカウント認証についてご紹介しました。
次回は実際にテスト用Googleアカウントに2段階認証を使ってご紹介していきます。