ワンタイムパスワード

最近ネトゲのアカウントハックが多発しています。
国産某有名ゲームでもありましたし、天下のWoWといえども例外ではありません。

アカウントハックを防ぐ為には、運営側のサーバーのセキュリティもさることながら、ユーザー側でのセキュリティに対する注意を欠かすことができません。

ユーザーとしてアカウントハックを防ぐのには、怪しげなサイトを見ないようにするのが第一歩ですが、どこにどんな罠が仕掛けられているか見当もつきません。
そこで最近のネトゲはログイン認証の際に、色々な方法を用いてハックされにくくする方法が提供されています。

以前は、あらかじめユーザーに暗号表をメール等で送っておいて、ログインの度に暗号表の指定された場所のコードを入力させる方法などを用いているゲームもありましたが、最近は小さなハードウェアで使い捨てのパスワードを発行して入力させるものが一般的になりつつあります。

TERAの運営会社であるハンゲームは、セキュリティの専門会社としても一流のベリサインの提供するワンタイムパスワード方式のVIP Accessというサービスをベータ版として提供しています。

VIP Acccessは、携帯電話、iPhone、Android、Windows Mobile、WindowsのIE等、多くのプラットホームで動作します。
すくなくともTERAをプレイする予定ならばWindowsはあるでしょうから、ハッキングから身を守るためにも是非ワンタイムパスワード方式を登録しておきましょう。

ワンタイムパスワード方式の登録までの大雑把な流れは以下のとおりです。

1. ベリサインのVIP Accessホームから利用するプラットホームのイメージをクリックして、それぞれのプラットホーム版VIP Accessをダウンロードしてインストールする（VIP Accessは無料です！）
2. 12桁のCredentical ID(トークンID)と6桁のSecurity Code(ワンタイムパスワード)が表示されればインストール完了
3. ハンゲームトップページの右側のメニュー中断に表示されているワンタイムパスワードを利用しよう！！をクリックして表示されるページの一番下にある「利用設定する」をクリック
4. ハンゲームIDとパスワードでログイン
5. メールアドレスの入力
6. 届いたメールのURLをクリック
7. ハンゲームIDとパスワードでログイン
8. Token IDとワンタイムパスワードを入力

1.と2.は、VIP Accessをダウンロードするサイトに詳しい説明が載っているので、それほど迷うことはないと思います。

3.からは、ハンゲーム側での設定ですが、何度もログインしなおしたりメールのリンクをクリックしたりと、ちょっと煩雑で面倒です。

ここで注意が必要なことが1点あります。
VIP AccessはIE6以降のIEでしか動作しません。つまり、FireFox等のIE以外のブラウザでは動作しないということです。標準のブラウザをIE以外に設定している場合、必ず標準ブラウザをIEに戻してください。標準ブラウザをIE以外に設定したままメールのURLをクリックしてブラウザを起動すると設定されているIE以外のブラウザが起動してしまい嵌ります（私は暫くの間、なぜうまく動かないのか悩みました）。まあ、IE以外のブラウザが起動してしまっても慌てず、URLをIEにコピペして飛び先のページを表示させれば良いのですが。。。

8.で入力するトークンIDとワンタイムパスワードは、1. 2. でインストールされてるVIP Accessに表示されているものです。
ワンタイムパスワードは30秒毎に値が自動更新されますので、カウントダウンしている数字が小さな数字だったら、ちょっと一息ついて値が更新されるのをまってから、更新された数字を入力するようにしましょう。

登録が終わったら一旦ログアウトして、きちんと設定できているか確かめてみましょう。ログインページからハンゲームIDとパスワードでログインをすると、次にワンタイムパスワードの入力を求められます。一旦設定してしまえば、トークンIDを再び入力することはありません。

私は、Android携帯とIE8で動作を確認してみましたが、どちらも問題なくログインできました。

ワンタイムパスワードを使用することによりハッキングは非常に難しくなるので、これでもうハンゲームIDは安全になりました。

ところで、いくつか気になる点があります。

1点目ですが、VIP Accessは無料でベリサインから入手できるのですが、ハンゲーム側は正式版以降有料になりそうな点です。今の時点で使用料がいくらになるのか判らないので、正式版に移行する際にはその点をきちんと確認する必要がありそうです。

2点目ですが、有料になった後課金しなかった場合、普通のIDとパスワードのみの認証方法に戻す手段があるかどうかです。現在は無料なのでログイン後にID情報のページを表示すれば、そこで普通のログイン方法に戻すことができます。しかし、無課金状態でログインできない状態になってしまうと、現状の方法では元に戻す手段がないことになってしまいます。その辺がきちんとケアされた上で正式版へ移行してもらえればと思います。

3点目ですが、VIP Accessのインストールされたデバイスをなくしてしまったり、ソフトをインストールしなおした場合です。ソフトをインストールしなおすと、トークンIDが変わってしまうので、古いトークンIDで登録したアカウントにログインできなくなってしまいます。これも2点目と同様にログインできないと設定を変えることができず嵌ります。

ハンゲーム以外で既にVIP Accessを利用している所では、既に課金が始まっているところもあります。1回のみの利用料でずっと利用できるところや月額課金をしているところなど方法も値段もまちまちです。

アカウントのセキュリティはユーザーだけの問題ではなく、運営にも手痛い被害を及ぼしますから、できるだけユーザーに負担のかからない課金方法にしてほしいところです。たとえば使用開始時に500円支払えばずっと使えるとか、別の有料サービスの課金の中に利用料を織り込むとか。。。

インストールから利用設定まで20枚以上のスクリーンショットを撮ったのだけど、面倒すぎて文字だけの記事になってしまいましたｗ