DropBoxを2段階認証にしてみた

スマホのパスワード保存アプリ、1Passwordの同期に利用しているDropBoxのセキュリティを高めるために、2段階認証にしてみました。

トップへ相互リンクお問い合わせ掲示板

 
 
 
   
 
 
 

DropBoxを2段階認証にしてみた

Last update 2016/09/03 12:36

 

 

先日、私のPayPalアカウントが乗っ取られ、勝手に20万円ほどの買い物を購入されていました。
PayPalの支払いにクレジットカードを登録していたので、クレジットカード会社の方から連絡がありました。
PayPalは2年前、登録したっきり全然使っていなかったのですが、すごく簡単なパスワード(8桁の数字のみ)にしていたので、メールアドレスさえわかれば、あとはパスワードを総当りに入力されれば、最終的には乗っ取られてしまうようです。
普通、銀行やクレジットカードであれば、振込時にワンタイムパスワードやセキュリティコードを新たに入力しなくてはなりませんが、PayPalはそういったシステムが無いようで、乗っ取られたら最後、気がつくまで勝手に使用できてしまうようです。

メールアドレスとパスワードのみのサービス

そこで気になったのですが、同じようにメールアドレスとパスワードのみでログインできてしまうネット上のサービスを調べてみると、「ヤフオク」や「DropBox」など色々あることが判明。
googleとApple IDは、2段階認証に対応させていましたが、今回DropBoxも二段階認証に対応させることが出来たので、やり方を紹介しておきます。
参照:googleアカウントのセキュリティを上げる

もし、DropBoxで大事なデータを保存していたり、iPhoneやスマホの1Passwordのようなアプリを使っている場合は、ぜひ、二段階認証を有効にしておいてください。

DropBoxの二段階認証を有効にするには

二段階認証とは

そもそも二段階認証とは?
二段階認証とは、IDとパスワードでログインしたあと、スマホや携帯に届くショートメール(SMS)や専用のアプリに表示される4~6桁の数字を入力しないとログイン出来ないシステム。
そのため、ログイン用のパスワードが流出しても、次のステップで不正なログインを防ぐことが出来るんです。
たいてい2段階認証の数字は、6桁で、さらに20秒間の時間制限しかないので、総当りによる入力も防ぐことが出来るというわけ。
実際には、二段階認証も突破される可能性もあるようなので、100%信用できるわけではありませんが、設定してないのとしているのとでは、ぜんぜん違うと思います。

Dropboxにログイン

それではDropBoxのに段階認証を有効にする方法を紹介します。まずは、Web上のDropBoxにログインします。

左側の三角をクリック続いて右上の下向きの三角形▼をクリックします。

設定をクリック表示されたメニューから「設定」をクリックします。

2段階認証を有効にする「セキュリティ」タブをクリックし、「2段階認証」の「ステータス」にある「有効にする」をクリックします。

スタートガイドをクリック「スタートガイド」をクリックします。

パスワードを入力DropBoxのパスワードを入力します。
「次へ」をクリック。

SMSかアプリか選択二段階認証のセキュリティコードを、SMS(ショートメッセージ)で受け取るか、スマホの専用アプリ(google Authenticator)で表示させるか選択します。

どちらも一長一短があり、「テキストメッセージを使用」は、ショートメッセージが受信できる電話番号が2つ必要です(1つは予備用)。
また、SMSでセキュリティコードを受信するため、圏外では使えません。

「モバイル アプリを使用」は、スマホのアプリをインストールする必要があります。が、こちらはオフラインでもセキュリティコードを表示させることが出来ます(現在時刻を元にセキュリティコードを発行するため)。

どちらもスマホが必要なので、スマホを無くさないようにしておいてください。

セキュリティコードの受信方法は、後から変更できます。以下は、「テキストメッセージを使用」を選択した場合の手順。
スマホアプリでの二段階認証も、後述します。

電話番号を入力スマホの電話番号を入力します。
日本の国際番号「日本+81」になっていることを確認し、スマホの番号の頭の0をとった次の番号から入力します。
例えばスマホの番号が、09012341234であれば、9012341234 と入力します。
「次へ」を入力。

セキュリティコードが届くすると、入力した番号にSMSが届き、6桁のセキュリティコードがが記載されているので、これをメモしておきます。

セキュリティコードを入力DropBoxの画面に戻り、メールに記載されていた6桁のセキュリティコードを入力し、「次へ」をクリック。

2つめの携帯番号を入力メインのスマホがなくなってしまった場合、予備のセキュリティコードが受け取ることが出来るスマホの電話番号を入力します。
2台持っていない人は、家族か友人の借りることが出来る番号があればOK。
ちなみにこちらの番号は、この段階ではセキュリティコードを受信しないので、適当な番号でも(おすすめしませんが)、登録はできます。

最終手段 バックアップコード

バックアップコードが表示される2台のスマホをなくしてしまった場合などに、二段階認証を無効化させることが出来る「バックアップコード」が表示されます。
最悪の場合、このコードを入力すれば、二段階認証を無効にできます。
このコードを紙などにメモしてしまっておいてください。
最後に、「二段階認証を有効にする」をクリックします。

Windows版DropBoxの再ログイン基本的にはそれまで使い続けていたWindowsなどのDropBoxは、二段階認証をしないで使い続けることが出来ます。
ただし、新しくインストールしたDropBoxのソフトやアプリでログインしようとすると、このような画面が表示され、スマホに届いたセキュリティコードを入力しなければログインできなくなります。

google Authenticatorによる二段階認証

Authenticator二段階認証のセキュリティコードを受け取る方法として、「モバイルアプリを使用」を選択した場合の手順は、こんな感じ。
まずは、google Authenticatorオーセンチケータをスマホにインストールしておきます。

google Authenticatorをインストールする

モバイルアプリを使用先ほどの画面で、「モバイルアプリを使用」の方にチェックを入れ、「次」をクリック。

バーコードをカメラに写すこのようにバーコードが表示されます。

認証システムのプラスをタップgoogle Authenticatorを起動し、プラスのボタンをタップします。

バーコードをスキャンをタップ「バーコードスキャン」をタップします。

カメラが起動するアプリ内にカメラが起動するので、先ほどのバーコード全体が映るようにします。
シャッターをきる必要はありません。バーコーダが解析されると自動で登録されます。

6桁のセキュリティコードが表示自動的に登録されました。
すぐに6桁の暗号が表示されます。
この6桁の数字がセキュリティコードになり、20秒毎に新しい数字になります。
なお、この数字はスマホの時刻が正確でないと、きちんと動作しません。
スマホは基本的に、自動的にGPSやWi-Fi、モバイル通信で時刻を正確に合わせるようになっているので、ご安心を。

Web上の入力欄表示された6桁のセキュリティーコードを入力します。
20秒が経過すると、無効になるので、間に合わないようであれば新しい数字の組み合わせになってから入力してください。

予備の携帯番号何らかの原因で、google Authencatorが動作しなかった場合や、スマホをなくしてしまった場合用に、予備としてSMSが受信できるように、携帯の電話番号を入力し、「保存」をタップします。

バックアップコードが表示される最終的な手段として、バックアップコードで二段階認証を無効にできるコードが表示されるので、これをメモしておきます。

二段階認証が動作二段階認証の設定は、Web上からいつでも変更できます。
バックアップコード(復元コード)も、いつでも表示させることが出来ます。

これで安心?

メールアドレスを若干変更して強化する

二段階認証も突破される可能性がないこともないようなので、一番確実なのは、ログイン用のパスワードを徹底的にむずかしい(数字・ローマ字・記号のすべてを使用した12桁以上)ものにしておくのが有効かもしれません。

ピリオドを挿入しても届くGmail

また、Gmailは、アドレスにピリオドが含まれていても、同じメールアドレスとして受信することが出来ます。
例えば、Gmailのメールアドレスが、

example@gmail.com

だとしたら、

ex.ample@gmail.com や exampl.e@gmail.com

でも、example@gmail.com のアドレスで受信することが出来ます。
ピリオドを連続して挿入しても届くようです。

プラスから@までに文字列を挿入しても届くGmail

また、半角の+から@までの文字列は無視されるので、以下の様なGmailでも同じように受信することが出来ます。

example+user@gmail.com

+は半角にしてください。

gmail.comでもgooglemail.comでも届く

さらに、「 @ 」以降が gmail.com でも googlemail.com でも、同じように受信することが出来ます。

example@gmail.com

は、

example@googleemail.com

宛でも届きます。
ただし、googlemail.com のドメインの場合、ピリオドやプラス挿入によるアドレスは有効にならないようです。

セキュリティを見直す

なぜ、このようにGmailの裏ワザ(?)的なことをたくさん書いたかというと、DropBoxなどのインターネット上のサービスは、メールアドレスをログイン用のIDとする場合が多いので、セキュリティを高めたい場合は、このようにメールアドレスをサービスごとに変更するとさらにセキュリティをあげることができるからです。

もし、普段使っているメールアドレスに頻繁にスパムメールが届く場合、あなたのメールアドレスは悪意あるユーザーの手に渡っている可能性があります。
そのため、あとはパスワードを総当りに入力されるだけで、乗っ取られてしまう可能性があります。
そこで、このような裏技を使ってメールアドレスをIDにすれば、二段階認証まで辿り着かなくすることが出来ると思います。

関連ページ

 

 
 
 
 

関連ページ

 

Yahoo!ボックスの使い方 Windows Live Meshで同期の使い方 時間を計算する
Dropboxの使い方 googleドライブ の使い方 Nドライブが容量も大きくて使いやすい!
googleアカウント 2段階認証を導入するには 容量無制限 デジカメで取った写真をFacebookに保存 DropBoxを2段階認証にしてみた