zaifのバックアップコードって、危なくないの?

どうも。
今年は意外と忘年会が少なかったsalary_manです。呼ばれてない疑惑。

仮想通貨取引所のzaifでは、2段階認証ができなくなったときの救済措置として、バックアップコードが用意されています。

他の取引所にはない機能で一見便利ですが、よくよく考えるとセキュリティ面は大丈夫なの?と思って調べてみました。

スポンサーリンク
レクタングル大広告

zaifのバックアップコードとは

2段階認証に用いるGoogle認証アプリはバックアップ機能がなく、スマホを紛失すると取引所にログインできなくなります。

その場合、通常はサポートに問い合わせて2段階認証を解除してもらうのですが、本人確認が必要だったりして結構手間なんです。

そこでzaifでは、緊急時のログイン用バックアップコードを用意しており、これを2段階認証の代わりに入力してログインすることができます。


画像が粗いですが、これがバックアップコードです。

バックアップコードの特徴

  • 10個のコードが発行されているので、事前に印刷または画像ファイルで保存しておく。
  • 2段階認証ができない状態(スマホ紛失等)に陥っても、バックアップコードを代わりに入力してログインできる。
  • 一度使ったコードは失効し、二度は使えない。
  • 10個のコードを使い切っても、再発行が可能。再発行後、昔のコードは未使用でも強制失効する。

とまぁ、こんな感じです。

2段階認証の安全性

そもそも、2段階認証で使っているGoogle認証のワンタイムパスワードって本当に安全なんでしょうか?
スーパーハッカーが作ったプログラムで猛烈に数字を打ち込んだら、いつか解除できる気が…

と思ってネットで調べましたが、小難しい数式ばかりでよくわかりませんでした。。。

まぁざっくり言うと、6桁の数字は100万通りあり、認証1回を0.5秒と仮定すると、30秒以内に当たる確率は60/100万分≒1/16666です。
※時間内に何度でも試せるので、実際はもう少し確率高い?

自動車事故で死ぬ確率が1/10000ですので、ハッカーは2段階認証を突破する前に、車に轢かれて死ぬ運命です。
ゆえに、安全性は非常に高いと言っていいでしょう。

バックアップコードの安全性

さて、次はzaifのバックアップコードです。
注目すべきは以下の仕様。

  • コード長は数字8桁。
  • 使用可能なコードは最大10個。
  • 入力の制限時間なし

この3番目の「制限時間なし」というのがポイントです。つまり時間をかければいつか当たるということ。
1秒に1回入力しても、10^8通り÷10個≠116日で突破されてしまいます!おぉ怖!

…え?116日もかかるのは非現実的だから、安全じゃないかって?

ブログやtwitterでバラまき企画を開催してビットコインアドレスを収集し、大量保有してる人をターゲットに各SNSをエゴサーチ。メールアドレスとパスワードが使い回しだったら総当たりでログイン試行するプログラムぶん回して
これはフィクションです。

さすがにこんなヤバいことできないよう、取引所も対策打ってるでしょ。わざと認証に1秒かけるとか、5回失敗したらメール通知して出金凍結とか。。。

対策

というわけで、バックアップコードはたぶん大丈夫な気がしてきました。(本当か?)
ですが、「どうしてもこの資金だけは…絶対に盗まれるわけにはいかない…」というよく訓練されたビットコイナーは、以下の対策をするといいでしょう。

2. ログイン通知をONにする

これはデフォルトで設定されていますが、ログインするたびに届くメールが煩わしくてOFFにしている人は、ONにしておきましょう。
不正ログインの早期発見と出口対策(出金凍結→パスワード変更)で、資金流出を食い止められます。

3. 出金時も2段階認証を行う

これも同様ですね。
バックアップコードはログインにしか使えませんので、2段階認証で実質的に出金を食い止められます。

まとめ

つまり今回何が言いたかったかというと、「常にセキュリティ対策を意識すること」が大事だよということです。
チャートに夢中になるのもいいけど、たまには自分の資産が守られているか、取引所のセキュリティ設定をチェックしましょう。

トラストレスなこの界隈、家の鍵を閉め忘れるとすぐ泥棒入っちゃいますから。

スポンサーリンク
レクタングル大広告

  • このエントリーをはてなブックマークに追加
スポンサーリンク
レクタングル大広告