設定を終えたら、2段階認証の設定しているパソコンで、一度Googleアカウントからログアウトし、再度ログインしてみよう。
初期画面こそ従来のGmailと同様だが、ここでIDとパスワードを入力すると「2段階認証プロセス」という画面が表示される。この瞬間、先ほど認証コードの受け取り先に設定した携帯電話に、SMSかメールが到着する。その中に6桁の数字が記されている。これが認証コードで、この数字を先ほどの画面に入力することで、2段階目の認証が行なわれてGmailの受信トレイが表示されるというわけだ。
2段階認証設定後にGmailにログインする。最初の画面は今までどおりだが(左)、アカウント名とパスワード入力すると、2段階認証のコード入力画面が表示される(右)。この瞬間に、先ほど設定した認証コード送信先にSMSまたはメールが届く
携帯電話のSMSを確認すると、6桁の数字のコードが送信されている。それを認証コード入力画面に入れれば、Gmailへのログインが完了
この操作は、Googleアカウントでの2段階認証が発生するたびに繰り返され、携帯電話に認証コードのメールが届くことになる。各デバイス、各ログインごとに毎回認証コード送信が発生するのは、煩わしい人もいるだろう。その場合、先ほどの認証コード入力画面で「このパソコンでは今後、コード入力ウインドウを表示しない」にチェックを入れると、以後そのパソコン・デバイスでのログインでは、2段階目の認証は発生せず、従来どおりのID+パスワードの組み合わせのみでログイン可能になる。
2段階認証が意味するのは、「手元にある信頼できるデバイスを通じて、Googleアカウントのログイン挙動を監視する」ことにある。Googleアカウント乗っ取りが発生するケースでは、ユーザーの預かり知らぬ場所でアカウントへの攻撃が行なわれ、知らぬ間にログインされてしまうことが問題となっている。そこでログイン動作があるたびに、ユーザーが信頼したデバイスに対して認証コードを送信し、本人によってログインが行なわれていることの確認をすると同時に、毎回変化する認証コードによってセキュリティの強化を行なっているわけだ。
ただし、前述のように毎回やるのは煩わしいと感じるユーザーもいるだろう。そこで「ユーザーが直接信頼できるとしたデバイス」に対しては、チェックボックスの設定で確認動作を省略することで、従来どおりの使い勝手を実現する。悪意のある第三者が、それ以外のパソコンやデバイスで不正ログインを試みても、それは「信頼されたデバイス」ではないために、ログインが弾かれてアカウントは安全に守られる。
iPhone/iPadやWindows 8での設定方法
さてこの2段階認証だが、現時点で直接対応しているのはウェブブラウザー経由でのアクセスと、比較的新しいAndroidデバイスのみ。iPhone/iPadでのメールアプリによるGmail受信や、パソコンでメールクライアントを使った受信、Googleアカウントを統合したWindows 8でのメール/カレンダー連携など、多くのユーザーが利用している手段では利用できない。さらにAndroidであっても、Android 2.3.x以前の古いバージョンのOSでは動作しない。
2段階認証導入後に、これらデバイスからメール受信やアカウント同期を行なおうとすると、当然ながらエラーが出てしまう。これは2段階目の認証コード入力を適切に処理できないためだ。この場合、「アプリケーション固有のパスワード」を別途設定してやる必要がある。
「アプリケーション固有のパスワード」とは、簡単に言えば「複雑で長いパスワード」のことだ。長くて複雑なパスワードのため、覚えにくく入力しづらい反面、ブルートフォース攻撃のような力業でのクラッキング手法では、パスワードを解読されにくいというメリットがある。Googleアカウントでのログイン時に、「ID」+「アプリケーション固有のパスワード」を入力することで、認証コードを求められることなく、そのままサービスへとログインできる。2段階認証の迂回手段ともいえる。
「アプリケーション固有のパスワード」は機械的に生成する。先ほど2段階認証を設定した「アカウント」の「セキュリティ」項目に移動して、「2段階認証プロセス」の「設定」ボタンを押す。すると2段階認証プロセスの詳細設定画面が表示される。ここで「アプリケーション固有のパスワードの管理」リンクをクリックすると、表示されたウインドウの下側にアプリケーション購入のパスワード生成画面が表示される。
「アプリケーション固有のパスワード」を設定するには、2段階認証の詳細設定画面で「アプリケーション固有のパスワードの管理」(赤枠内)をクリック
ここにどのアプリに使うパスワードかを識別する「名前」を入力して、「パスワードを生成」ボタンを押せば完了だ。16文字のパスワードが表示されるので、メモしておこう。ここで表示させたパスワードは再表示できないので、もしパスワードを忘れてしまった場合は「無効にする」のリンクを押して削除し、新しいパスワードを生成しよう。名前は管理用の目印でしかなく、パスワード生成のためのキーワードではない。ゆえに「Windows 8アクセス用のパスワード」といった具合にわかりやすい名前にしておくといいだろう。
「名前」の入力欄に識別用の適当な名前を入力し、「パスワードを生成」ボタンを押す
ここで表示された文字が、2段階認証における6桁の認証コード入力を迂回するためのパスワードとなる
