Raspberry Pi 4のnextcloudに二要素認証を導入する

nextcloud

約 6 分で読めます。

Raspberry Pi 4のnextcloudに二要素認証を入れました!
これによりセキュリティが強化され、一定の安全を得ることができます!

nextcloudをインターネットから使いたいな。
でもパスワードがバレたらデータが丸見えだ…
お手軽にセキュリティを強化する方法はないかな?
この前セブンペイで話題になった二段階認証は入れられるの?

こんな要求を解決します。

二要素認証とは

二要素認証とは、セキュリティ強化のための手段です。

通常の認証ではユーザー名に対応するパスワードを入力させます。
これは
 パスワードを知っているのは本人だけ
 だからパスワードが正しければ本人確認ができたことになる
という理屈に基づいています。

しかし、最近ニュースで見るようにパスワードがバレる事例が増えてきました。
直近ではSpotifyがありましたね。

Spotifyのアカウントデータ流出、同じパスワードは変更を
T音楽ストリーミングサービス「Spotify」からアカウントデータが流出したと伝えた。Spotifyは既にパスワードのローリングリセットを開始しており、流出したと見られるパスワードは利用できなくなっている。

そのため追加認証することで、パスワードがバレても大丈夫なようにする必要が出てきました。

その手段が二要素認証と呼ばれる、パスワード以外の認証です。

二要素認証の手段はいろいろありますが、メジャーなのはスマホアプリでワンタイムパスワードを表示させ、それを認証画面に入力する方法です。

これは以下の考え方に基づいています。
 パスワード(I know 認証)
  私は本人しか知らない情報を知っている
   →だから私は本人だと証明できる
  他の例:秘密の質問
 スマホアプリ(I have 認証)
  私は本人しか持っていないスマホを持っている
  → だから私は本人だと証明できる
  他の例:指紋認証

二要素認証で追加パスワードを設定させるサイトがありますが、これは↑の考え方でいうとI know 認証を2つ設定していることになります。
これでもセキュリティは強化されますが、パスワードが全部漏れると全滅なので、スマホアプリや指紋など、I have 認証を含める方がよりセキュリティが高まると言えます。

今回はこのスマホアプリによる二要素認証をnextcloudに設定します。

二要素認証をnextcloudに導入する

これは簡単です。
nextcloudにアプリを入れれば良いです。

今回はTwo-Factor TOTP Providerというアプリを入れてみました。

Two-Factor TOTP Provider - Apps - App Store - Nextcloud
The Nextcloud App Store - Upload your apps and install new apps onto your Nextcloud

nextcloudの管理者でログインし、アプリを選びます。

セキュリティの項目にTwo-Factor TOTP Providerがありますので、インストールします。

これで二要素認証を使えるようになりました。

次はユーザーごとに二要素認証を必要とするように変更します。
まずユーザーの設定画面に移動します。

TOTP有効化というチェックボックスがあるので、チェックを入れます。
すると、以下のようにQRコードが表示されます。

ここでスマホに二要素認証アプリを入れます。
自分はGoogle 認証システムを使っています。

Google 認証システム - Google Play のアプリ
Google 認証システムにより、スマートフォンで 2 段階認証プロセスのコードが生成されます。 2 段階認証プロセスは、ログイン時に 2 つ目の確認手順を求めることで Google アカウントのセキュリティを強化するものです。パスワードに加えて、スマートフォンの Google 認証システム アプリによって生成された...

認証アプリで↑のQRコードをスキャンすると、認証アプリにnextcloudのユーザー情報が登録され、それ以降ユーザーに対応したワンタイムパスワードが定期的に作られるようになります。

その時点で表示されているワンタイムパスワードを↑の認証コードに入力すれば準備完了です。

二要素認証を動かしてみる

この状態で一度ログアウトし、ログインしてみましょう。

パスワードを入れた後、↓のようなワンタイムパスワード要求画面に遷移します。

ここで認証アプリに表示されている6桁の数字を入れると、ログインが成功します。

注意事項

二要素認証をやめたくなったとき、必ず以下の順番で解除しましょう。
 ・nextcloudのユーザー設定画面でTOTP有効化のチェックボックスを外す
 ・ログアウト→ログインし、ワンタイムパスワードが不要になったことを確認する
 ・認証アプリで該当する情報を削除する
認証アプリを先に削除してしまうと、ログインできなくなってしまいます!!

終わりに

いかがでしたか。

これで一定のセキュリティレベルを確保できたと思います。

次回はnextcloudのアプリであるトークを試してみたいと思います!

Comments

タイトルとURLをコピーしました