こんにちは、タキシード仮想(@tuxedo_kasou)です。

ハッキングの可能性を大幅に削減

ga1

Google Authenticatorは、仮想通貨取引所などにログインする際に、その時にだけ有効なパスワードを生成するアプリです。
使うたびにパスワードが変わることになりますから、当然セキュリティ上、ハッキングされて悪用される可能性というのを大幅に削減できます。

ちなみに、こうしたワンタイムパスワードを生成するアイテムは、Google Authenticatorのようなソフトウェアだけでなく、カードや小さな機械のようなハードタイプもあります。

4

タキシード仮想
ジャパンネット銀行で口座を作ると、こんなワンタイムパスワード生成用のカードがもらえますよね!

ワンタイムパスワードを生成する仕組み

ワンタイムパスワードは…

仮想通貨取引所などのログイン先が生成するパスワードと、Google Authenticatorなどで私たちが生成するパスワードを、共通の方法で算出して、常時パスワードを一致させることで成立します。

美太郎
当然、ここで両者のパスワードが違ってしまっていたらログインできないにゃん。

このワンタイムパスワードを生成するには…

秘密鍵などの情報と、その時の時間やこれまでに生成した回数など、変化する情報の2つが必要です。
これらをログイン先とGoogle Authenticatorなどのアプリで共有して、共通の方法でワンタイムパスワードを作り出すのです。

3

うさ子
お肉とごはんを人間の口のなかに入れて、胃腸でごにょごにょして、うんちを出すようなものですね!え?笑

ちなみにGoogle Authenticatorは時刻をベースにワンタイムパスワードを作るタイプですね。

時刻がベースといっても、毎秒ごとにワンタイムパスワードが変わっていたら、入力が間に合いませんから、そこは上手いことプログラムを組んで30秒毎に切り替わるようになっているようです。

タキシード仮想
Google Authenticatorは時刻をベースにしているので、スマホの時刻がずれていたらエラーになります。ログイン先のサーバーと時刻がずれないようにしなくてはいけないですからね。

Google Authenticatorは安全なの?

多少間違ってるかもしれませんが←おい
これまで、Google Authenticatorでワンタイムパスワードを生成する仕組みを簡単に紹介してきました。

2つの情報をごにょごにょしてワンタイムパスワードを作り出していたんですね。

さて、この2つの情報ですが…
秘密鍵は、Google AuthenticatorでQRコードを読み取る際にアプリとログイン先で共有しています。

つまり、もしこのGoogle Authenticatorを破られるとしたら…

この秘密鍵(QRコード)の情報が何らかの形で流出してしまった時でしょう。

秘密鍵は記号や英数字で長く連なっている訳ですから、総当りで試すというのは現実的ではないですよね。
となると、このQRコードを表示したままうんちでもしていて、その隙に他人に読み取られたりしなければ大丈夫そうです。

結局のところ…

Google Authenticatorは現状セキュリティ対策としては安全性が高いものと言えそうです。
ただ身近な友達にハッカーがいる方(笑)は、QRを表示させたままうんちをしに行かないように注意が必要です。

あれ?ログイン先側でQRコードの情報が誰でも見られるようなガバガバな状態になっているケースは大丈夫?(小声