ログインのセキュリティフィッシング攻撃を阻止するベストプラクティス
Tutanotaはログインセキュリティのベストプラクティスを適用するなど、お客様のアカウントを保護するために様々な取り組みを行っております。このガイドに従って、すべてのアカウントを安全に保管してください。
ログイン・セキュリティ
ログインのセキュリティはいくつかの要因に依存しますが、そのほとんどはプロバイダが管理できます。このガイドでは、悪意のある攻撃者があなたのアカウントを乗っ取ることを非常に困難にする、ログイン認証情報を保護するためのベストプラクティスを集めています。
この要約には、ログイン認証情報を保護するために自分で有効化する必要がある重要な機能の1つ、2要素認証も含まれています。しかし、簡単なことから始めましょう!
ログイン認証情報を保護するために最も重要な要素は以下の通りです:
- 強力なパスワード
- アカウントを回復する安全な方法
- 二要素認証
1.強力なパスワードの強制
オンライン・サービスにサインアップする場合、そのサービスが強力なパスワードを強制的に選択させることが重要である。例えば、Tutanotaアカウントにサインアップする際、弱いパスワードを選択すると、システムは「パスワードの安全性が十分ではありません」というポップアップを表示する。このように、システムはすべてのユーザーが強力なパスワードを選択するようにします。
強力なパスワードは、小文字、大文字、数字、特殊文字を含み、短すぎてはいけません。強力なパスワードの選び方のヒントはこちら。
また、Tutanotaは'password'のような一般的に使用されているパスワードを許可していません。残念ながら、GMXのような他のメールサービスでは、パスワードとして'password'を許可しています。これは、攻撃者が簡単な推測でユーザーアカウントを乗っ取る可能性があるため、最悪の行為の一つです。
また、Tutanotaは最先端のブルートフォースプロテクションを使用している。パスワードは[Bcrypt]]({faqHashingLink})でハッシュ化され、SHA256でソルト化されます。パスワードのハッシュのみがサーバーに送信されますので、私たちTutanotaでさえお客様のパスワードを見ることはできません。
2.認証情報をリセットするためのリカバリーコード
強固なパスワードを選択することに次いで、ログイン認証情報を保護する上で最も重要な要素は、パスワードのリセット方法です。ほとんどのサービスでは、パスワードのリセットをEメールで行っています。これは非常に便利ですが、同様に安全ではありません。
Eメールによるリセットオプションは、悪意のある攻撃者にとって非常に簡単なバックドアのように機能します。彼らはリセット機能を悪用してオンラインアカウントを乗っ取ることができます。そのため、TutanotaはEメールでのパスワードリセットを提供しておらず、代わりにリカバリーコードを提供しています。
リカバリーコードを使用することで、他人を介さずにパスワードをリセットすることができます。Tutanotaでは意図的にパスワードリセットのオプションを設けていないため、リカバリーコードを安全な場所に書き留めておくことが重要です。このようにして、私たちでさえあなたのアカウントを乗っ取ることができないようにしています。
2FAを有効にしている場合、パスワードのリセットまたは2つ目の要素の3つのうち2つが必要です。詳しくはハウツーをご覧ください。
3.二要素認証
ログイン認証情報を保護したいすべての方に、少なくとも1つの第2要素を有効化することをお勧めします。二要素認証は、アカウントのログインセキュリティを心配する全てのユーザーが有効にしなければならない最も重要なベストプラクティスの一つです。
Tutanotaは複数の第二要素を追加することができます。複数の第二要素を追加することで、第二要素を失った場合にメールアカウントへのアクセスを失うリスクを軽減することができます。
TutanotaはU2FとTOTPをサポートしています。ハードウェアトークン(U2F)を選択することをお勧めします。
セカンドファクターを設定する際、リカバリーコードも必ず控えておいてください。一度設定すると、1つを紛失した場合にアカウントをリセットするために3つのうち2つが必要になります。例えば、セカンドファクターを紛失した場合、ログイン情報をリセットするには、パスワードとリカバリーコードが必要です。
4.セッション処理
セッション処理は、ログイン認証情報を保護するための重要なベストプラクティスです。これにより、リモートでセッションを閉じることができます。例えば、携帯電話でログインしているが、携帯電話を紛失したとします。その場合、他のデバイスからセッションを終了させ、あなたの携帯電話を手に入れた人があなたのオンラインアカウントにアクセスできないようにします。
Tutanotaはセッション処理をサポートします。リモートでセッションを閉じたり、パスワードを変更することができます。他のセッションは即座にログアウトされ、あなたのアカウントがアクティブなセッションを経由して他の誰かにアクセスされる可能性があると思われる場合でも、あなたのアカウントは安全な状態に保たれます。
アクティブなログインセッションと最近終了したログインセッションは、設定 -> ログインで確認できます。必要であれば、ログインIPアドレスの保存を有効にして、誰かがあなたのアカウントにアクセスしているかどうかを監視することができます。この機能は手動で有効にする必要があり、保存されたIPアドレスは暗号化され、ユーザーによってのみ復号化されます。
5.管理ログ
企業でオンラインサービスを利用する場合、管理者が何をしているかを確認したいものです。通常、管理者はパスワードをリセットする権利などを持っているため、管理者がこの権限を乱用しないようにすることが重要です。
Tutanotaは全ての管理者の操作をログに記録します。これらは設定 -> グローバル設定 -> 監査ログで見ることができます。
6.パスワードの変更
オンラインアカウントを提供されたユーザー、または管理者によってパスワードをリセットされたユーザーは、セキュリティ上の理由からパスワードを変更することをお勧めします。
Tutanotaには、管理者によってリセットされたパスワードを強制的に変更するオプションがあります。
7.複数管理者
Tutanotaでは、Tutanotaアカウントのセキュリティを監視するために、複数のユーザーを管理者にすることができます。
認証情報を安全に保つ
Tutanotaはログインの安全性を確保するために様々な機能を提供しております。二要素認証を有効にして、リカバリーコードを安全な場所に書き留めておけば、ログイン認証情報を保護するためのベストプラクティスは全て満たされます。
安全にご利用ください。
Eメールセキュリティガイドもお読みください。
