Forbesの記事より。この記事も外国署名入りの為(以下略)。
グーグルアカウント復元のガイド
Googleアカウントが乗っ取られたり、何らかの理由で締め出されたりした場合に、いくつかの簡単なステップでアクセスを回復できる役立つ公式オンラインガイドがある。
(1)ブラウザーで「アカウント復元ページ」にアクセスし、自分のGmailアドレスを入力する。過去にそのアカウントでサインインしたことのあるパソコンやスマートフォンを使い、いつも使用しているブラウザーで、普段ログインしている場所からアクセスするのが望ましい
(2)グーグルが提示する質問には可能な限り正確に答える。パスワードを思い出せない場合は以前使っていたものを入力するか、思い当たる候補を入力する
(3)復旧用メールアドレスや電話番号、認証アプリ、またはデバイスへの通知にセキュリティコードが送られることがある。ただし「グーグルがメール・電話・メッセージでパスワードや認証コードを求めることはない」ため、そうした要求はハッカーからのものと判断すべきだ
(4)指示に従い、パスワードをリセットする
予防は治療に勝る
とはいえ、やはり予防は治療に勝る。ハッカーによるアカウント乗っ取りを防ぐ最も効果的な単一の方法は、たとえ二要素認証と組み合わせたとしても、ユーザー名とパスワードの組み合わせより安全な形態のユーザー認証情報を使用することである。そう、繰り返し強調するが、パスキーのことだ。
パスキーは、サーバー側で保存される固有の公開鍵と、ユーザーのデバイスにのみ保存される秘密鍵という2つの鍵で構成されている。公開鍵は秘密鍵でしか正しく応答できないチャレンジを作り出し、鍵はランダムに生成され、サインイン時に共有されることはない。完璧なセキュリティは存在しないものの、パスキーは推測や盗聴がほぼ不可能な仕組みであり、認証情報の安全性を大きく高める技術だと評価されている。
グーグルは、パスキーの主な利点を次の3点にまとめている。
・フィッシング耐性:ユーザーが騙されてパスキーを攻撃者に渡すことができないため、パスキーは本質的にフィッシング攻撃に強い
・簡便性:パスキーによるサインインは、PINコードや指紋・顔認証でデバイスのロックを解除するのと同じくらい簡単に行える
・一意性:パスワードのように使い回されることはなく、各サービスやウェブサイトごとに固有のパスキーが生成される
さらに、従来のパスワードと二要素認証からパスキーへの切り替えは、こちらから短時間で完了し、ユーザー側の負担も少ない。導入しない理由は見当たらない。
引用おわり。
結論は現時点で最も強固なセキュリティはパスキーだと主張しているからそれに従って欲しいという事らしい(が、人間が覚えられないのでツール(Chrome等)に管理を委ねるというのが個人的にはちょっと・・・等と言ってられないのでしょうね。2段階認証も容易に乗り越えてくるので:まあ釣られなければ良いだけではありますが、人間なので:)。
20250807 18:52追記:
パスキー = RSAだからいまだにそれを超える技術は無い(あるけど一般向けとしてはパスキーが実装上最強度)という事で十二分に実績のある技術だし秘密鍵の管理さえ怠らねば(それはツール任せで)強度を維持可能という事なのでしょう(信じましょう)。
