Google は最近、PC にパスワードを入力せずに、スマートフォンと QR コードを使用して公共の端末から Google アカウントにログインできる楽しい (そしてより安全な) 方法を導入しました。
この方法は、Google が 2011 年 2 月に導入した 2 段階ログイン プロセスで携帯電話を設定する方法に似ています。Google の 2 段階認証システムでは、アカウントにアクセスするために、パスワードに加えて、信頼できるデバイス (スマートフォン) によって生成された一意の短いコードを入力する必要があります。
Google+やHacker Newsで話題になっている新しいGoogle QRログインは、スマートフォンをデスクトップPCのブラウザのプロキシとして利用するものです。スマートフォンにGoogleアカウントのパスワードを入力すると、PCが「自動的に」Googleアカウントにログインします。
これは、旅行中や公共のコンピュータを利用するときに便利なトリックであり、侵入されたマシンに入力されたすべてのキーストロークを記録するキーロギング ソフトウェアを搭載した PC から保護することができます。
私のテストでは、iPhone と Android デバイスを使用してログインできました。Windows Phone 7 でも動作すると言われています。
Googleが新しいQRコードログインシステムをいつ作成したかは不明です。私が見つけた最も古い言及は12月下旬のRedditでしたが、私の知る限り、Googleはこのログインオプションを公式に発表したことはありません。
Google の新しい認証プロセスの使用方法は次のとおりです。
QRコードリーダーを入手する
始めるには、スマートフォン用のQRコードリーダーが必要です。私のテストでは、Google Goggles(画像検索機能付きスマートフォンアプリ)を含め、どのQRコードリーダーでも動作しました。Google GogglesはAndroidマーケットで入手可能で、iOS版Google検索アプリにも含まれています。
スマートフォンでQRリーダーアプリを起動したら、https://accounts.google.com/sesame にアクセスしてください。Googleの安全なページにQRコードが表示されます。次に、スマートフォンでコードリーダーアプリを開き、スクリーンショットを撮るか、アプリが画面上のコードを認識するまで待ちます。
アプリはQRコードがURLであることを通知します。アプリがURLを開くことを許可すると、Googleアカウントのログイン画面が表示され、アカウントのパスワードの入力を求められます。このシステムを初めて使用する場合は、ユーザー名も入力する必要があるかもしれません。
完了すると、Google.com でログインバーコードをスキャンしない限り先に進まないようにという警告画面が表示されます。Google.com からこのページにアクセスした場合は、警告画面から「Gmail で始める」または「iGoogle で始める」を選択してください。
数秒後、PCのブラウザウィンドウは自動的にGmailの受信トレイにリダイレクトされます。私のテストでは、スマートフォンがモバイルデータ接続を使用している場合でも、PCと同じWi-Fiネットワークを使用している場合でも、この手順を実行できました。
注意点
この新しいログイン方法は試してみるのも楽しいですし、時には非常に便利なこともありますが、ログイン情報を安全に保つための確実な方法ではありません。空港でGoogleのQRコード認証を使用する場合は、空港の無料オープンWi-Fiネットワークではなく、3G/4G接続を使用してパスワードを入力することを検討してください。そうすれば、悪意のあるハッカーがパケットスニファーを使ってWi-Fiトラフィックを盗み取ろうとするのを防ぐことができます。GoogleのQR認証はHTTPS経由の暗号化チャネルを使用しますが、Wi-Fiは使用しない方が安全です。
また、QRコードをスキャンする前に、ウェブアドレスが安全であること、そしてgo.ogle.comのようなアドレスではなくgoogle.comからのものであることを必ず確認してください。URLがHTTPSで、「/」スラッシュの前に「google.com」が付いていない場合は、Googleのウェブページではありません。意図的なハッカーであれば、偽のGoogle QRコードとそれに続くログインページを作成して、あなたの認証情報を盗むのは非常に簡単です。
最後に、これはキーロギング攻撃から身を守るための有効な手段ですが、意欲的なハッカーは他にも様々な手口を使ってログイン認証情報を盗み、アカウントにアクセスしようとする可能性があります。例えば、中間者攻撃(使用中のPCとの間で送受信されるすべてのデータが第三者によって傍受される)が考えられます。
私のテストでは、PCで認証するには毎回スマートフォンでパスワードを入力する必要がありました。そのため、誰かがあなたのスマートフォンを盗んだ場合、QRコードを使ってログインすることができない可能性があります。
Google の新しい QR 方式は、Google アカウントにアクセスするための楽しい方法ですが、完了したらアカウントからログアウトすることを忘れないでください。
更新: PCWorldがGoogleのQRコードログインについて記事を書いた直後、Googleはこの機能の提供を停止し、実験段階とすることを決定しました。「私たちは常に認証機能の改善に取り組んでおり、様々な方法を試しています」と、GoogleセキュリティチームのDirk Balfanz氏は述べています。「さらに優れた機能を開発中です。公開トライアルの準備が整い次第、お知らせします。」
最新のテクノロジー ニュースと分析については、Twitter と Google+ で Ian Paul (@ianpaul)、Twitter で Today@PCWorld をフォローしてください。
