Webサービスのセキュリティを強化しよう!!(Yahoo!編)
2013年5月16日に発生したYahoo!のID流出事件。
5月17日の追加情報でパスワード(不可逆暗号化された)およびパスワード再設定に必要な情報も流出した可能性が高いと発表がありました。
5月17日に発表いたしました「当社サーバへの不正なアクセスについて」の件で、引き続き調査を続けていたところ、新たに前回の最大2200万ID(Yahoo! JAPAN総ID数 約2億)のうち、148.6万件については、不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な情報の一部が流出した可能性が高いことを確認いたしましたので、ご報告いたします。
こわ!!
再発しないとも限らないのでこの際セキュリティを強化することにしました。
(ちなみに自分は流出対象ではなかったようです・・・と信じてます)
Yahoo!のセキュリティを強化する方法いろいろ
セキュリティを強化する方法はいろいろ種類があるようです。
順に見ていきましょう。
1.ログインアラート
不正と思われるログインがあった場合に指定したメールアドレスにメールを送信して知らせてくれる機能です。
送信されたメールからロックを掛けることも可能のようです。
"不正"をどう判断しているかは不明ですが念のため設定。(海外のIPからのログインとかかな?)
2.ログイン履歴
ログインの履歴が過去30件分閲覧できます。
たまに見て、変な時間やIPからアクセスがないか見ましょう。
3.ログインシール
ログインフォームに指定した画像(または文字列)を表示する機能です。
これによって、フィッシングサイト等非正規のページでログインID/パスワードを入力することを防げます。
こんな感じで画像がでます。画像が出ないログインフォームは非正規ってことですね。
注意点としてはブラウザ毎に設定が必要ということです。
このような注意書きがあります。
ログインシールの設定内容は、ブラウザー(Internet Explorer、Firefoxなど)ごとに保存されます。設定時に利用した同じパソコンで、同じブラウザーからYahoo! JAPANを利用したときにのみ、表示されます。 複数のパソコンや、複数のブラウザーを使っている場合は、それぞれに設定をお勧めします。
別のパソコンやブラウザで開いても画像は表示されないってことですね。
4.シークレットID
普段使用しているYahoo!IDとは別のログインIDを設定できるというものです。
Yahoo!IDはメールアドレスと同じなので第三者に知られる可能性が高いため、別のIDを設定してセキュリティレベルを上げます。
5.ワンタイムパスワード
ログイン時に指定したメールアドレスにパスコードが送信され、そのパスコードを入力しないとログイン出来ないようにする機能です。
第三者がID/パスワードを知っていても、パスコードがわからない場合はログインできません。
設定方法は過去の記事に書いていますのでご参照下さい。
Yahoo!もワンタイムパスワードに対応しセキュアになった | お弁当の中身ですか?めがねですよ?
上記設定は全てこちらから行うことができます。
これで少しは安心ですね!
別のWebサービスのセキュリティについても今後書いていこうと思います。