Office365で、パスワードが破られspamメール送信に利用される事案が発生している。

こういうパスワードへの攻撃には2段階認証が有効。私もSMSへの使い捨ての数字パスワードや、認証アプリを使ったりしている。でも最近では、なりすましサイトを挟んで使い捨て数字パスワードを盗む手法も出てきているので注意が必要。この中で最近注目されているのが、物理的キーを使うもの。Google では、全社員がこれを使うことで被害を防いでいるらしい。

以下は、YubiKey というFIDO対応のUSBキー。認証時に、パソコンのUSBキーに刺して、真ん中のボタンに触れるだけで認証が完了する。ただ、ChromeなどのFIDO対応のブラウザが必要らしい。

購入してから、あまり使ってこなかったけど、Google や Facebook は FIDO の認証に対応してきたようなので、設定してみた。