2013/04/23

ワンタイムパスワードの導入・削除方法


先日というほど、さかのぼらない時期に、チームメンバーがアカウントハックの被害にあいました。運営側からも警告、周知されていますが、ワンタイムパスワードの導入や削除方法に関してのまとめです。


実際にわたしが試行した内容の範囲ですが、参考になればと思います。

ワンタイムパスワードは、固定のログインパスワードとは別に、特定の文字列を時限的に取り決めてそれを使って認証する方式です。

現段階では、スクエア・エニックスからDQ10向けの提供されているものは2つあります。
  • セキュリティトークン(ハードウェアトークン)
  • ソフトウェアトークン
セキュリティトークンは、専用のハードウエェアにその機能が実装されており、ソフトウェアトークンはスマートフォンなどコンピューター機器の一部の機能やアプリケーションとして提供されます。

どちらも時間と登録したシリアルコードを組み合わせて、専用の文字列を生成して、それを認証サーバー側とアクセスユーザー側で共有して使用する仕組です。使用方法のまとめなので、技術的・専門的な情報は割愛します。

こちらでは導入のハードルが低い、ソフトウェアトークンに関してまとめます。
  1. 設定方法
    • ソフトウェアトークンは「iOS」または「AndroidOS」に対応したスマートフォンやタブレットで利用できます。それぞれのOSに対応したアプリケーションをダウンロード/インストールします。
    • 利用する場合には、スクエア・エニックスのアカウント管理画面でソフトウェアトークンの登録を行います。
    • スクエア・エニックスアカウントに登録されているメールアドレス宛に、登録用のパスワードが発行されます。
    • ソフトウェアトークンを起動すると、登録用パスワードを含む設定に必要な情報を聞かれるので、それらを入力します。(あえてセキュリティ観点から紹介をやめました)
    • 正常な情報が登録され、認証されると登録完了通知のメールが届きます。
    • これでワンタイムパスワードを利用することができるようになります。
  1. アカウントとの連携
    • スクエア・エニックスアカウントに対して登録できるソフトウエアトークンは1つだけです。
    • 複数のアカウントを所有していた場合には、1台のスマートフォンやタブレットで複数のアカウントに対応したワンタイムパスワードの発行はできません。
    • アカウント1つに対して1つのアプリケーションが連動する仕組なので、複数アカウントにワンタイムパスワードを利用したい場合には、アカウントの数量と同じだけのスマートフォンやタブレットが必要になります。
  1. 強制解除パスワード
    • スマートフォンなどを紛失した場合には、DQ10にログインできなくなってしまいます。
    • また、スクエア・エニックスアカウント管理画面にも、ワンタイムパスワードによるログインが必要になる為、永久にそのアカウントが無効になってしまいます。
    • このような状況から脱する為には、「強制解除パスワード」を事前に取得する必要があります。
    • スクエア・エニックスアカウント管理画面で強制解除パスワードは表示されているので、メモをとり保管しておく必要があります。
    • くれぐれもソフトウェアトークンをインストールしたスマートフォンやタブレットには保存しないことを推奨します。端末を紛失した場合には、強制解除パスワードも紛失してしまうからです。
    • 手書きメモ(メモ時に書きミスをしないように、何度も見直して写しましょう)または、パソコン、オンラインストレージなどで保管することで、紛失対策ができますが、オンラインストレージやPCから流出するリスクがある点も留意してください。(ウイルスによる漏洩やセキュリティ事故によるオンラインストレージデーターの流出など)
  1. 削除・通常解除設定
    • ワンタイムパスワードの利用を中止したい場合には、スクエア・エニックスアカウント管理画面から利用停止します。
    • スマートフォンなどにインストールしたソフトウェアトークンのアプリケーションは無効になる為、アンインストールまたはアプリケーションを削除すれば完了です。
    • 再び、ワンタイムパスワードを利用したい場合には「設定方法」の手順で再度利用することが可能です。
    • ただし、以前に使っていたソフトウェアトークンを継続して設定変更だけをして、利用することはできません。あくまでも削除して再度インストールする必要があります。
以上、簡単にですが、まとめてみました。2アカウントある場合などは、ソフトウェアトークンの利用方法がわからない場合があると思いましたので、参考になればと思います。

コメント投稿数:3件

匿名 さんのコメント...

アカウントハック・・・恐ろしいですね。

最初は面倒と感じていたソフトウェアトークンにも,少しずつ慣れてきました。

あとは,強制解除のパスを忘れないようにしなければ・・・。

とものゆり

まぁぶる さんのコメント...

>ともさん
まいど~コメントありがとう!アカウントハックは被害者がチーム内にでちゃいましたからね・・。業者大量BANとか詐欺行為のドラキー注意とかもあわせて、ちょっとアストルティアは荒れ気味っすね。お互いにセキュリティは気をつけましょうね~。

takayuki さんのコメント...

iphoneが壊れてワンパスができなくて、あと強制解除パスワードもメモしたのになくしてしまいましてどうすればいいのか解らなくて

コメントを投稿

コメントへは必ずご返答するようにしております。時間がかかる場合がありますが、ご理解ください。なお表現上の問題があると管理者が判断したコメントは削除させていただきますので、ご了承ください。