ひかり電話設定サイトがワンタイムパスワードに対応 確認用ID/パスワードって何?

2023年のお盆が明けると、「ひかり電話設定サイト」がワンタイムパスワードに対応していました。

※NTT東日本の「ひかり電話設定サイト」についての記事です。
※NTT西日本の「ひかり電話設定サイト」は、2023/9/9現在、ワンタイムパスワード未対応のようです。

あの、ボイスワープとかの設定に使うサイトです。

ログインすると、このような画面が出てきます。

公開することもある「電話番号」と、パスワードのみでのログインでしたので、きわめて脆弱だと懸念しておりました。

そのため、ワンタイムパスワードに対応したのは歓迎です。「やっとか」という思いです。

すぐに設定し、ワンタイムパスワードありで運用を開始しています。

ですが、普通のサイトのワンタイムパスワード設定となんか違い、分かりにくいと思いました。そのため、当店で設定した際にわかったことを記事にします。

ワンタイムパスワードの初回設定

ワンタイムパスワードが利用可能になった後、初回のログインを行うと、この画面が出ます。

「利用しない」を選ぶこともできるんですけど、申し上げました通り、電話番号とパスワードだけ、というきわめて脆弱な認証方法だと考えておりますので、ぜひとも、ワンタイムパスワードは利用することをおすすめします。

「利用する」を選択して「次へ」を押すと、このような画面になります。

• メールアドレス
  ワンタイムパスワードを今後受け取りたいメールアドレスです。１つだけしか設定できません。
• 確認用ID/パスワード
  これが分かりにくいんですが、ワンタイムパスワード送信メールアドレスが分からなくなった際、ログイン前の段階で変更する際に使用するID/パスワードです。
  ログイン後のメールアドレス変更には使用しません。あくまでも、ログインしようとしてワンタイムパスワードが受信できず、困った! という時に使うものです。
  他のサイトでいえば「回復用コード」に相当するかもしれません。「確認用ID」「確認用パスワード」が漏洩すると、二段階認証を簡単に破られてしまいますので、厳重に保管してください。

すべて入力したら、最下部の「次へ」をクリックします。

まだここでは「仮登録」となっています。このあと、メールアドレスの確認と、実際にOTPが受信できるかの確認が待ってます。とりあえず「登録」を押します。

この画面になったら、設定したメールアドレスの受信トレイを確認します。次のようなメールが来ますので、リンクをクリックして本登録に進みます。

リンクをクリックすると、設定サイトに戻ってきて次のような画面になります。

「本登録が完了」と出てますが、ここで操作をやめると、まだワンタイムパスワードは有効になってませんのでご注意ください。

「ワンタイムパスワード送信」をクリックすると、次のような画面になり、メールが届きます。

メールの赤枠内の数字がワンタイムパスワードですので、入力して「次へ」をクリックします。

これでやっと、ワンタイムパスワードが有効になりました。

関連のメニューが表示されるようになりました。

ワンタイムパスワードを使ったログイン

ワンタイムパスワードが有効になると、ログインするたびに次のような画面になります。

赤枠で囲った「ワンタイムパスワードを送信」が通常の操作になります。これを押すと、さきほどと同様にワンタイムパスワードがメールに送信され、入力するとログインできます。

青枠で囲った「メールアドレスの変更」、これが、ワンタイムパスワードが受信できない場合に、ログイン前の段階でメールアドレスを変更できる機能です。ここで、確認用ID、パスワードを使用します。

ワンタイムパスワード送信メールアドレスの変更

「メールアドレスの変更」をクリックすると、次のような画面になります。

ここで、最初に決めた確認用ID、確認用パスワードを正しく入力すると、ログイン前ですが、ワンタイムパスワード送信用アドレスが変更できます。

というわけで、「確認用ID」「確認用パスワード」が漏洩すると、二段階認証を簡単に破られてしまいますので、厳重に保管してください。

ワンタイムパスワード　運用にあたって思うこと

めんどくさいけど、これはやったほうがいいです

ログインするたびに、メールを開いてワンタイムパスワードをコピペするのは

正直めんどくさいです。

ですが、さきほども申し上げましたとおり、誰でも分かる電話番号とパスワードだけの認証では、正直ずっと心配でした。

面倒でも、ここはワンタイムパスワード使った方がいいと思います。

担当者が複数いた場合はどうするのか

ワンタイムパスワード送信用アドレスは、ひとつしか設定できませんので、担当者が複数いた場合、結構困ると思います。

この場合、全員がログインできるメールアドレスに送信…としてしまうと、そのメールボックスのパスワードを配布することになり、メールボックスの安全が守れないと思います。

なかなか苦しいですが、設定したメールアドレスからの転送設定によって、ログインする可能性のある担当者全員に、ワンタイムパスワードのメールを転送するのが最も良いのではないでしょうか。

ログインセッションのタイムアウトはなくなって…ないと思われます

ワンタイムパスワードの導入によって、あの、「しばらく触ってないとログアウトしてしまう」タイムアウトが「なくなっていればいいな」と思いますが…

しかし、重複ログインを認めない仕様はそのままなので、タイムアウトがないと、ログインできなくなる恐れがあります。おそらくなくなってないでしょう。

パスワードの有効期限は…残念、引き続き60日間でした

ワンタイムパスワードでセキュリティが高まったことによって、しばらくすると「パスワードの変更まであと何日」と表示される、あの定期変更も廃止されていると、よかったのですが…

残念、引き続き、パスワードの有効期限は60日間のままでした。

パスワードの定期変更は、もうずいぶん前から「不要」がコンセンサスになってると思うのですが

総務省 | 国民のためのサイバーセキュリティサイト

www.soumu.go.jp

ひかり電話設定サイトではいまだに生きており、ワンタイムパスワードを有効にしても、そのままでした。

定期変更を求められることで、結局安易なパスワードに変更してしまったり、引継ぎが出来て無くログインできなくなったりするデメリットの方が大きいと考えています。

ぜひ、パスワードの有効期限は廃止していただきたいと願っています。

公式の操作ガイド

公式の操作ガイドもアップデートされていて、ワンタイムパスワードのこともちゃんとのってました。

(PDF 2.3MB)

https://www.hikari.ntt-east.net/hikarihelp_kyoutsulogin.pdf