ダッシュボードへのログインに二要素認証が設定可能になりました

WebPayのダッシュボードへのログイン時に時刻ベースのワンタイムトークンを必要とする、二要素認証が設定出来るようになりました。

設定を行うことで、Google Authenticator(Google 認証システム)Authyなどのアプリケーションを使って生成できる RFC 6238 - TOTP: Time-Based One-Time Password Algorithmに準じた時刻ベースのワンタイムトークンの入力をログイン時に必須と出来るようになります。

パスワード以外にログインする人物による認証要素が追加されることで、メールアドレスがジャックされたり、パスワードが他者の手に渡ってしまった場合に アカウントを悪用されるリスクを大きく低減することが可能になります。

WebPayでは現在、二要素認証を設定していることで、ログインおよびパスワードのリセットに際してワンタイムトークンの入力が必要となっていますが、 パスワードの変更やAPIキーの再生成等、ログインが成立している状態で行えるセキュリティ等にクリティカルな操作に対しても入力を要求するように改善を進めて参ります。

二要素認証を設定する

設定画面より二要素認証の設定が可能となっています。

設定の前に、Google Authenticator(Google 認証システム)Authyといった 時刻ベースのワンタイムトークンを生成出来るモバイル向けアプリケーションをトークンの生成を行いたい端末にインストールしておきましょう。

準備が整ったらまず、「二要素認証を設定する」というボタンを選択します。

images

準備したアプリケーションから新たなトークン生成を行う操作を行い、 表示されるQRコードをカメラで読み込むか、シークレットキーを手入力します。 無事にアプリケーションでトークンが生成出来るようになったら、表示されている数字列をワンタイムトークンの欄に入力してください。

images

正しく生成されているワンタイムトークンであることが確認出来れば無事設定完了です。 次回以降、WebPayに新たにログインする際には「二要素認証のトークンを入力する」にチェックを入れ、そのタイミングで生成されている「ワンタイムトークン」の入力がログイン時に必須となります。

images

注意点

リカバリーコードを控えておいてください

ワンタイムトークンを生成するアプリケーションを誤ってアンインストールしたり、アプリケーションがインストールされている端末を紛失した場合など ワンタイムトークンが生成出来なくなった場合に設定画面にて表示されているリカバリーコードをワンタイムトークンの代わりに入力してログインすることが可能です。

images

リカバリーコードを利用した場合、強制的に二要素認証が解除されますので、必要に応じて再度設定を行ってください。

ログイン以外の操作でもワンタイムトークンが必要になってきます

パスワードを忘れた場合にメールアドレスの認証によって行っていたのパスワードの再設定時にもワンタイムトークンが必要となります。 更に前述の通り、今後セキュリティ上特に重要である操作についても、入力が必要となる可能性がございます。

代理での設定解除を承れない場合がございます

二要素認証を設定している状態でワンタイムトークンの生成が出来ない状態かつ、リカバリーコードも知り得ない状態となる場合、セキュリティ上これらのリセットを承ることが難しくなって参ります。

二要素認証が設定されている場合、メールアドレスの有効性以外にWebPayに登録されている本人以外が知り得にくい情報などをご提示頂いたり、こちらからお電話を差し上げるなど本人確認が厳しく行う必要がございますため すぐにログイン可能な状態にすることが困難ですのでご留意ください。