====== Gmailのセキュリティ ====== ===== 二段階認証プロセス ===== Gmailは、通常のパスワード認証に加えて、二段階認証プロセスという認証形式を提供している。二段階認証プロセスを適用すると、パスワード認証に続いてPINコードを要求される。PINコードは、ケータイキャリアメールやAndroid/iPhone/Blackberry のアプリや、直電から得られる。どれで得るかは設定による。 ひとたびPINコードによる認証が通ると、その端末は信頼できる端末として登録できる。登録は管理画面から削除可能であり、インターネットカフェなどからのアクセスの場合には万一登録してしまったなら、適切に削除される必要があるだろう。でなければ、二段階認証にしている意味がなくなってしまう。 二段階認証プロセスに対応できないアプリケーション((thunderbirdやOutlook、fetchmailなど))に対しては、管理画面からアプリケーション固有のパスワードを発行して、それを利用する。Gmailのパスワードは使えなくなるので、注意が必要。 ===== 二段階認証プロセスへの切りかえ ===== 二段階認証プロセスへの切りかえは、Gmailなどの画面から、アカウント設定を開いて行う。 [[http://www.wildtree.jp/~araki/wiki/picture/two-steps-authentication.png|{{http://www.wildtree.jp/~araki/wiki/picture/two-steps-authentication.png}}]] アカウント設定画面が開くと、そこに、二段階認証プロセスの設定がある。デフォルトではオフになっているのでこれをオンにする。 [[http://www.wildtree.jp/~araki/wiki/picture/account-setting.png|{{http://www.wildtree.jp/~araki/wiki/picture/account-setting.png}}]] まず、PINコード受信用のケータイメールアドレスを聞かれるので、設定する。ケータイであれば、第三者が持っているはずはない、ということなのだろう。 アドレスを設定すると、PINコードが送られてくるので、それを入力すれば、以後そのPCは信頼されたことになり、Gmailなどへはパスワードのみでアクセス出来るようになる。つまり、使い勝手としては以前と同じになる。 ===== アプリによるPINコードの取得 ===== ケータイメールでの認証ではなく、アプリによる認証を選ぶことも出来る。Androidの場合は、Google認証アプリの他にZxingのバーコードリーダが必要になるのでインストールしておく。 アプリ認証を選ぶと、次のような画面が出てくる。 [[http://www.wildtree.jp/~araki/wiki/picture/auth-by-application.png|{{http://www.wildtree.jp/~araki/wiki/picture/auth-by-application.png}}]] Android側で認証アプリを起動して、「バーコードをスキャンする」を選ぶと、Zxing のスキャナが起動するので、バーコードを読み込ませると、PINコードの生成が始まる。PINコードは一定時間ごとに変化するので、有効なうちに上の「コード」という部分に入力して「確認して保存」を押す。 [[http://www.wildtree.jp/~araki/wiki/picture/PINapp.png|{{http://www.wildtree.jp/~araki/wiki/picture/PINapp.png}}]] これで以後の認証はケータイメールではなく、このアプリによる認証が優先される。((その都度、どれを使うかを指定することも出来る。)) ===== バックアップ ===== 二段階認証は強力なので、万一、PINコード生成用のデバイスや、ケータイメール端末に不具合が生じると、ログイン出来なくなってしまう可能性がある。 こういう場合のためのバックアップ手段を、Googleは二種類用意している。ひとつは、固定電話を登録しておいて、認証にそれを利用するケース。これは、単に、設定画面から固定電話番号を登録するだけだ。 もう一つが、印刷用バックアップコードである。アカウント設定画面で、バックアップコードの表示、というリンクをクリックすると、次のようなポップアップに10個のバックアップコードが表示される。 [[http://www.wildtree.jp/~araki/wiki/picture/backupcode.png|{{http://www.wildtree.jp/~araki/wiki/picture/backupcode.png}}]] 非常時には、1から一つ一回ずつ使うことができる。10個全部使い切ったら、そこにある、再生成用のリンクをクリックすれば、また新しい10個が発行される。((はずである。試してないけれど。)) これらのコードは印刷して財布にでもいれておけと書かれているが、適切な形でアクセス可能な場所に置いておけばいいと思う。非常用なので、お世話にならないで済めばそれに越したことはないのだ。 ===== 個別アプリケーション用パスワードでの認証が必要なもの ===== 当方で確認、遭遇した個別パスワードでのアクセスが必要になるアプリケーションやサービスを列記しておく。 * Thunderbird * Thunderbird Lightning プラグイン * fetchmail * Google Chrome Sync * Documents To Go ((OfficeSuite Proは何故か特別な認証を要求してこなかった。)) Chromeの設定などを同期する Chrome Syncが個別パスワードを要求してくるのはちょっと意外でした。 [[start]]へ戻る。