Googleは月曜日にGoogle Appsに2要素認証オプションを追加し、企業は通常のパスワードに加えて、携帯電話を通じて配信されるワンタイムコードでユーザーアカウントを保護できるようになりました。
Google Appsのセキュリティ担当ディレクター、エラン・ファイゲンバウム氏は、このオプションは、ワンタイムコードの有効期間が限られているため、フィッシングやマルウェア攻撃に対する追加の保護を提供すると述べた。
2 要素認証は通常、パスワードなどユーザーが知っている情報と、スマートカード、セキュリティ トークン、または Google の場合は携帯電話などユーザーが所有する情報に依存します。
マイクロソフトは、SMS テキスト メッセージを使用した同様の 2 要素認証サービスを提供しており、これを 5 月に初めて発表しました。
Googleは認証コードをSMS(ショートメッセージサービス)または音声メッセージで送信します。SMSサービスは無料で、オーストラリア、デンマーク、フランス、ドイツ、オランダ、スウェーデン、イギリス、アメリカを含む19か国で利用可能です。
認証コードは、Android、BlackBerry、iPhoneのアプリストアから無料でダウンロードできる「Google Authenticator」というスマートフォンアプリを使ってローカルで生成することもできます。ファイゲンバウム氏によると、AppleはすでにiPhone向けのGoogleアプリを承認しており、現在3つのアプリすべてが利用可能とのことです。
Googleは、認証アプリのソースコードをオープンソース化することで、企業がユーザーインターフェースを変更し、自社ブランドを組み込むことを可能にする。しかし、コードを生成するアルゴリズムのソースコードは配布しないとファイゲンバウム氏は述べた。
認証プロセスは、デバイスとネットワークを認証するためのオープンスタンダードであるOATHに基づいています。これは、主にWebアプリケーションを対象とした別のオープン認証プロトコルであるOauthとは別物です。OATHの支持企業には、VeriSign、Sandisk、そして多くのスマートカードメーカーが含まれます。
管理者は、Google Appsのプレミアム、教育、政府機関向けバージョンのユーザーに対して、Googleの新しい認証機能を有効にすることができます。スタンダードエディションおよびGoogleドキュメントやGmailなどのコンシューマー向けサービスのユーザーは「今後数ヶ月以内に」アクセスできるようになるとファイゲンバウム氏は述べましたが、年末までかどうかについては明言を避けました。
管理者が機能を有効にすると、Google Apps ユーザーは SMS オプション用に Google に携帯電話番号を提供するか、アプリをインストールして、アプリと Google Apps ウェブサイトに秘密のパスフレーズを入力して設定する必要があります。
その後、ユーザーはログインするたびに、6桁のコードを入力するよう促すテキストボックスが表示されます。コードを取得するには、ログインページからSMSでコードをリクエストするか、スマートフォンアプリのボタンをクリックして新しいコードを生成することができます。
同じマシン(例えば自宅のパソコン)から繰り返しログインするユーザーは、「このパソコンの認証を記憶する」オプションを選択できます。これにより、そのマシンにCookieが設定され、Googleのサーバーに認証コードを要求しないように指示されます。ファイゲンバウム氏によると、これによりマシンが盗難された場合のセキュリティ保護は低下しますが、「誰かが物理的にマシンにアクセスした場合、より大きな問題が発生する可能性がある」とのことです。
しかし、公共のアクセスコンピューターでは、電話を通じて送信される認証コードは短期間しか有効ではないため、2要素認証によってさらに高いレベルの保護を実現できると彼は述べた。
仕事用の Google Apps と個人用の Gmail で異なるオンライン ID を持つユーザーは、両方の ID を使用して Google Authenticator をプログラムし、アカウントごとに異なるコードを生成できるようになります。
Googleは18ヶ月近く前にAuthenticatorの開発に着手しました。ファイゲンバウム氏によると、過去3ヶ月間、社内のスタッフ全員がAuthenticatorを社内で使用してきました。そのテストにより、コードの長さなどの機能を最適化することができたとのことです。
