Skip to content

ひたすら2要素認証を設定していった日

   

7Pay関係でセキュリティの話を色々見ていたら、アメリカではSIMスワップ攻撃なるものがあるらしく、こんな解説記事を見かけたので、自分のも見直してみました。

The SIM Swapping Bible: What To Do When SIM-Swapping Happens To You

以前から大事なもので認証アプリ(Google Authenticator)が設定できるものは設定していたのですが、携帯番号を追加したりしていたので、片っ端から削除して回り、また以前は認証アプリが設定できなかったものも使えるようになっていたものには設定。

ちなみに上記のリンク先ではAuthyは止めろと言っているのですが、別端末でログインしても強力なパスワードで保護しておけば安全な気がするので、スマホ紛失リスクも考え乗り換えしてしまいました。またGoogle Voiceはアメリカの電話番号がないので使えません。(方法はあるみたいだが、そういう方法で取得した番号ってリスクないのか怪しい)

またパスワードは1Passwordで管理してて、すべてのサービスで違うパスワードな上に文字数多めで記号まで使っているので、まんま流出しない限りは大丈夫と思っています。

ひとまず Google, Dropbox, Microsoft, Facebook, Twitter, Evernote, ifttt, github, Amazon/AWS, Paypal, 仮想通貨関連, Slack等を一通り。ここで一番大事なのはGoogleアカウントですね。

しかし(シンガポールの)銀行系はSMS認証が止められないのが気になります。