【Yahoo!不正アクセス対策】2段階認証とシークレットIDで守る

Webサービス
この記事は約8分で読めます。

Yahoo! JAPAN ID(アカウントのこと)は公開情報であり、メールアドレスとヤフオクで思いっきり見えている(元々そういう仕様)。

このIDは「ログインにも使える」ため、実質ログインに必要なのはパスワードのみ

パスワードだけだと不安なので、「2段階認証で無理やり記号を含めた64桁になるほどの底上げ」と「ログインに使用するYahoo! JAPAN IDをシークレットIDに変更」して、最新の技術で守っていこう。

まだ複数登録可能なYahoo! JAPAN IDを持っていないなら以下参照。

スポンサーリンク

登録情報

Yahoo! JAPANにアクセスしたら、右側に「登録情報」があるのでクリック。

ログインしていない場合は情報を入力し、ログインしていこう。
登録情報をクリック

登録情報が表示されたら「ログインとセキュリティ」に進む。

ログインとセキュリティへ進む
スポンサーリンク

ログインとセキュリティ

ワンタイムパスワードとシークレットIDの項目にたどり着いたら、番号どおりに進めていこう。

ワンタイムパスワードへ先に進む

なお、

  • 確認コードでログイン(SMS):設定してもSMS認証なしでログイン可能なバグ?のため無視
  • 確認コードでログイン(メール):ワンタイムパスワードから設定するので無視
  • ログインアラート:侵入されないように強固にするため無視
  • メールアドレスログイン:ワンタイムパスワード設定時に強制的に設定するので無視

ワンタイムパスワード(2段階認証)

Yahooはアプリ・メールどちらかを2段階認証として使うことができる。

2段階認証とは、ログイン情報の他に1回限り有効な使い捨てパスワードを追加する。

将来を考えるとアプリで実装したほうが良いので、使いづらいGoogleの2段階認証アプリを避けてオススメな2つのアプリのどちらかをインストールしてこよう。

ちなみに、2段階認証アプリのみの設定はできず、紛失したときのための復帰用メールアドレス(Yahooメール不可)が別に必要。

2段階認証アプリはAmazonGoogleTwitterなどで当然のように使える。

どうしてもアプリで2段階認証を設定できないならメールで2段階認証まで読み飛ばそう。

準備ができたら「ワンタイムパスワード」をクリックし、「アプリ」を選択。

アプリを選択

聞いたことのないYahooワンタイムパスワードアプリの使用を促されるが完全無視し、さきほど紹介したAuthy・IIJ SmartKeyのどちらかを使おう。

ただし、Authy・IIJ SmartKey・Google Authenticatorで読み取り(スキャン)は無効。意地でもYahooアプリを使いたくないので、スマホの方は登録コードをコピーして貼り付け!
パソコンの方は登録コードをコピー → QRのススメに貼り付けてQRコード作成 → スマホで読み取り登録コードをコピー → 下記手順でアプリに登録コードを貼り付け。共有パソコンの方はプライベートブラウジングでQRを作成しよう。

各アプリの登録コード(別名シークレットキー)手動入力機能の場所は以下のとおり。

  • Google Authenticator:「+」→「提供されたキーを入力」
  • IIJ SmartKey:QRコード読み取り中に右上のキーボードマーク
  • Authy:Add account表示下の「ENTER KEY MANUALLY」
登録コードをコピーしてアプリに貼り付けし、6桁のコードを入力

次に、「復帰用メールアドレスの選択」を迫られる。

この記事はメールアドレスを一つも登録していない前提で進むので「メールアドレスの追加・編集」をクリックしていく。

すでにメアドが表示されていてそのメアドを復帰用にするなら「設定」をクリック。これでアプリでの2段階認証が終了するため、次のシークレットIDまで読み飛ばそう。
メールアドレスの追加・編集へ進む

Yahooメールは追加できないので、①Gmailなど別サービスメアドを追加 → ②「メールアドレスログイン設定」のチェックを外す → ③送信。

メールアドレスを追加する(Yahoo不可)
メールアドレスログイン設定のチェックを外して送信
後で紹介するシークレットIDのみでのログインに絞りたいため、必ずチェックを外す。

以下のような表示がでたらメールを確認してコードを入力し、届かないなら「迷惑メールフォルダをチェック」か「@mail.yahoo.co.jp」を受信できるように再度送信しなおそう。

確認コード入力

これで復帰用メールの登録だけ(まだ終わっていない)が完了したので、「ご利用中のサービスに戻る」へ進む。

追加完了なので戻る

さきほど追加したメールを「復帰用メールアドレス」に設定。

設定を押す

最後に「ご利用中のサービスに戻る」をクリック。

設定完了なのでご利用中のサービスに戻る

これで「2段階認証アプリに表示された6桁のコードを入力する作業」が増えて激烈に安全になった。

次の2段階認証を設定しないので、さらにセキュリティを高めるシークレットIDまで読み飛ばそう。

メールで2段階認証

ワンタイムパスワード受信用メアドと、そのメアドにアクセスできなくなった際の復帰用メアドの2種類が必要で、どちらもYahooメールが使えないため他サービスのメアドが2つ必須。

①のワンタイムパスワードへ進む。

ワンタイムパスワードへ先に進む

メールを選択し、「メールアドレスの追加・編集」をクリック。

ここでは1つもメアドを登録していない前提で進めていくが、1つだけだとどっちみち進めないので2つ登録していく。

メールを選択
メールアドレスの追加・編集

Yahooメールは追加できないので、①Gmailなど別サービスメアドを追加 → ②「メールアドレスログイン設定」のチェックを外す → ③送信。

メアドを追加(Yahoo以外)
メールアドレスログイン設定のチェックを外して送信
後で紹介するシークレットIDのみでのログインに絞りたいため、必ずチェックを外す。

以下のような表示がでたらメールを確認してコードを入力し、届かないなら「迷惑メールフォルダをチェック」か「@mail.yahoo.co.jp」を受信できるように再度送信しなおそう。

確認コードを入力

これで下の画像のように1つ登録した状態になったが、例のごとく2つ必要なのでもう1つ登録してこよう。

2つ準備でき次第、「ご利用中のサービスに戻る」をクリック。

追加完了なので戻る
2つ表示された状態にしよう!

そして、2つのうちどちらかを「ログインするたびワンタイムパスワードを受信したいメアド」として選択して「送信」。

ログイン時にワンタイムパスワードを受信したいメアドへ送信

①メールに6桁のワンタイムパスワードを送信されるので入力 → ②個人端末ならチェック → ③送信。

ワンタイムパスワードを入力

そうするとさきほど設定した「復帰用メールアドレス」が表示されているので、そのまま「設定」をクリック。

追加したメアドを設定

最後に「ご利用中のサービスに戻る」をクリック。

完了したので、ご利用中のサービスに戻ろう

これで「受信したメールに表示された6桁のコードを入力する作業」が増えて安全になった。

シークレットID

公開情報のYahoo! JAPAN IDを使ったログインを今から設定するシークレットIDに変更することができ、非公開情報のIDでログインセキュリティを向上させることができる。

②のシークレットIDをクリックして設定していこう。

シークレットIDに進む

そうすると「Yahoo! JAPAN IDとニックネーム」になっている状態なので、シークレットIDに変更して画像のように設定していこう。

シークレットIDはログイン時にしか使わず、強固にすればするほど安全度は増す。だが、すでに2段階認証を設定しているならそこまで強固にする必要はない(公開情報ではないため)。
シークレットIDの登録をクリックして作成
とりあえず、他で使用していない文字列ならOK

2段階認証を設定していないなら、ID・パスワードの付け方の極意を習得するといい。

そうすると設定したシークレットIDを保存するように言われるので必ず保存!

作成したシークレットIDを保存

これで次回から「Yahoo! JAPAN IDとニックネーム」でのログインができなくなったので、絶対に忘れないよう暗号化されている理想的なパスワード管理ソフトにメモを推奨。

確認するため再度ログインしておこう。

ログインしてサービスに戻る

「連絡用メールアドレスと電話番号でのログインは可能」と書いてあるが、この記事で初めてメアドを登録したのなら「連絡用メールアドレスログイン」と「電話番号ログイン」は回避済だ。

「連絡用メールアドレスログイン」を無効化したいなら、シークレットID項目の上にある「メールアドレスログイン」を未設定に変えよう。なお、電話番号ログインは知らない。
スポンサーリンク

他のセキュリティ向上手段(捨てメアドなど)

Yahooメールは捨てメアド機能が付属しており、メインのアドレスに迷惑をかけない生贄にできるメールアドレスを、無料で10個まで作成可能だ。

これにより、捨てメアドを使っておきながらメインのアドレスに迷惑メールは一通もこない(フォルダーわけ必須)。

通常の捨てメアドサービスだと弾かれるケースはあるが、Yahooのネームバリューにより使えるケースが多々あるので、捨てメアドはYahooをオススメする。

もう一つアカウントを作りたいならこちら。もちろん新しい方でも捨てメアドを作成可能だ。

さらなるセキュリティ意識のレベルアップ・修行・答え合わせはこちら。

コメント

  1. 佐野泰 より:

    確認コードばかり銀行じゃあるまいしやり過ぎメールは
    迷惑メールの山 idとパスワードで簡潔化携帯のメール代かかる

    • ぷっぷ ぷっぷ より:

      ちょっとわからなかったので以下のように改行し、「言いたいことはこれだ!」と想定して返答させていただきます∩(・∀・∩

      • 確認コードばかり銀行じゃあるまいしやり過ぎ:確認コードはアプリを使うため、アプリで一元管理レベルまで面倒を軽減することが可能です。やりすぎかどうかは否定できないですが、セキュリティは基本面倒とのトレードオフですので、そこの判断は任せます
      • メールは迷惑メールの山:漏洩確定されてるかと思います。一度Firefox Monitorで調べてみてください。なお、私は2年前にメアドを新しくした結果、一通も迷惑メールが来ていません
      • idとパスワードで簡潔化:さきほどのトレードオフの件と同じかな? セキュリティを強化するかは任せます
      • 携帯のメール代かかる:SMS認証のメールでしょうか?SMSの受信はほとんどのサービスで無料だったと思います(送信がかかる)

      以上です。
      2段階認証の導入は確かに億劫ですが、効果はあるので是非試してみてください∩(・∀・∩

タイトルとURLをコピーしました