『Xserver(エックスサーバー 
)』とは、ネットに情報発信している企業やブロガーなら利用している人も多いであろうレンタルサーバーです。
当ブログも『WordPress』と『Xserver』の組み合わせでお世話になっています。
比較的低コストで、ネット上にも多くの利用方法が発信されていて困っても何とかなる、初心者にも心強いレンタルサーバーです。
放っておいてもどんどん使い勝手が良くなっていくので安心しています。
もちろん最低限の知識は勉強してセキュリティ対策をしてきたのですが、今回、ログイン時の二段階認証を設定することにしました。
遅い!と怒られそうなくらいなんですけどね……。
2019年12月から「二段階認証設定」機能が提供されています。
なぜ今まで二の足を踏んでいたかというと、「インフォパネル」と「サーバーパネル」、「アカウントID」と「サーバーID」など、頭が混乱する自信があったからです!
混乱して『Xserver』にログインできなくなって泣く自信があったからです!!!
という訳で、同じく混乱しそうな方に向けて、二段階認証に必要な最低限の説明をしてみたいと思います。
*記事は2022年4月時点での情報です。
知識要素(本人だけが知っているパスワード)と所有要素(本人のみの持ち物に届くワンタイムパスワード)の組み合わせで二要素認証とも言えますが、『Xserver』では二段階認証という名称なので、本記事でも二段階認証で進めます。
「二段階認証設定」に必要なもの
『Xserver』の二段階認証では「認証コード生成アプリ」が必要です。
スマートフォンのアプリストアで「認証アプリ」等のキーワードで検索するといくつか出てきますが、なるべく評判が良く、使い勝手も良さそうなアプリを選んでください。
「Google Authenticator」や「Microsoft Authenticator」などをすでに利用している方も多いでしょう。
「認証コード生成アプリ」の利用で気を付ける点は、機種変更時の扱いでしょうか。
アプリで案内されている手順を追わないと認証コードが利用できなくなる(ログインできなくなって泣く)可能性もあります。
もしスマホが突然使えなくなった時にどう対応するのか?
他にも、スマホやパソコンやタブレットや……、と複数台で使いたい場合に対応しているか?なども重要ですよね。
事前にアプリの利用方法を確認しておきましょう。
『Xserver』側からの機種変更時の注意事項は以下です。
・認証コード生成アプリに登録した認証コードを削除する場合は、二段階認証の設定を「設定しない」に変更してから削除してください。
ホーム>マニュアル>二段階認証設定
・認証コード生成アプリをインストールした端末の機種変更を行った場合、登録した認証コードが消える可能性があります。
・機種変更前に二段階認証の設定を「設定しない」に変更することをおすすめします。
自分は「Authy」を利用していますよ。
スマホやタブレット用はそれぞれのアプリストアから、パソコン用は公式サイトからダウンロードできます。
「Authy」は複数台で同期して利用でき、クラウド上でバックアップされていて、機種変更もログインするだけです。
英語なので最初の登録だけ頑張れば(と言っても、「Authy」自身をSMS認証するための電話番号の登録と、メールアドレスの登録とバックアップパスワード設定程度)、後は直感で使えます。
『Xserver』の「二段階認証設定」とは
『Xserver』ホーム>マニュアル>二段階認証設定
『インフォパネル』と『サーバーパネル』にログインする時のセキュリティを強化します。
「Xserverアカウント」と「サーバーID」に、それぞれアプリで二段階認証を設定すれば良いんですよ〜。
…………。
これだけで理解できたら初心者ではありません。
みなさんは『Xserver』にログインする時、どこから入りますか?
自分は、たまに『サーバーパネル ログイン』からですが、ほぼ『Xserverアカウント ログイン』からのログインでしょうか。
『Xserverアカウント ログイン』からだと、「メールアドレス(または「XserverアカウントID」)」と「Xserverアカウントパスワード」の組み合わせなので、二段階認証は「Xserverアカウント」用です。
『サーバーパネル ログイン』からログインする場合、使えるIDとパスワードの組み合わせが3種類あります。
- 「サーバーID」と「サーバーパスワード」
- 「XserverアカウントID」と「Xserverアカウントパスワード」
- 「ご登録メールアドレス」と「Xserverアカウントパスワード」
「Xserverアカウント」を使う場合と、「サーバーID」を使う場合がありますね。
「Xserverアカウント」が使われるのは、2と3。
2と3は『Xserverアカウント ログイン』時と同じ組み合わせで、二段階認証は「Xserverアカウント」用です。
「サーバーID」が使われるのは、1。
1の場合に必要なのが「サーバーID」用の認証コードです。
どれか1つに決めて、毎回同じIDとパスワードの組み合わせを利用すれば自分的には問題無いですよね。
しかし、攻撃者はどれか1つのIDとパスワードがわかれば乗っ取ることができてしまいます。
だから、全てに二段階認証をかけるべきなんですよね。
混乱しやすいポイントの1つがこれです。
いつもと同じ『サーバーパネル』にログインする場合でも、「Xserverアカウント」を入力するか「サーバーID」を入力するかで、使う二段階認証が違う!
「Xserverアカウント」に二段階認証を設定
「Xserverアカウント」は、『Xserver』関連サービスの管理に必要で、ID番号はアルファベットと数字の組み合わせで8桁または10桁ですね。
「Xserverアカウント」へログインし、上部メニュー右端のXserverアカウントメニューから「登録情報確認・編集」に入ると「二段階認証」があります。
「設定する」にすると、「QRコードを表示」するボタンがあり、表示されたQRコードをスマホの「認証コード生成アプリ」で読み取らせて、表示された数字を『Xserver』の認証コード入力欄に入力します。
最後に表示されたバックアップコードは画面をプリントするなどして必ず保管しておきます。
「認証コード生成アプリ」側には、名前をわかりやすく登録します。
後で登録する「サーバーID」用とは区別が付く名前が良いですね。
QRコードが使えない場合は、シークレットキーを直接アプリに入力することで手動でも登録できます。
「サーバーID」に二段階認証を設定
「サーバーID」は、『Xserver』の契約時に自分で決めていますね。
「サーバーパネル」へログインし、「アカウント」カテゴリーの「二段階認証設定」をクリックします。
あとは「Xserverアカウント」での設定と同じです。
「設定する」を選ぶと「QRコードを表示」するボタンがあり、表示されたQRコードをスマホの「認証コード生成アプリ」で読み取らせて、表示された数字を『Xserver』の認証コード入力欄に入力します。
こちらのバックアップコードも画面をプリントするなどして必ず保管しておきます。
「認証コード生成アプリ」側に「Xserverアカウント」用と区別が付くように名前を付けておきます。
登録完了したらログアウトしてテストしてみてください。
ログアウトしないと、キャッシュの問題なのか?違う方の認証コードを求められたこともありました。
混乱してもセキュリティ優先
2つの二段階認証への登録が必要であるということ!
初心者には「XserverアカウントID」と「サーバーID」の違いがピンとこないこと!
これらが混乱の原因ではないでしょうか?
はい、自分はそうです。
そして、たまにしか『Xserver』にログインしないので、毎回、え〜っと何だっけ?となっています。
「サーバーパネル」へのログイン時に「サーバーID」を入力するなら「サーバーID」用の認証コード。
それ以外は「Xserverアカウント」用の認証コード。
認証コードの入力は間違っても何回でもトライできるので、拒否されたらもう一方の認証コードを入力してみる。
ざっくりとこんな感じで覚えておけば何とかなるんじゃね?←自分に言い聞かせています。
難しいからと二段階認証を避けるより、汗をかきながらでも有志の皆様からのネット情報を得てセキュリティを強固にする。
昨今の世界情勢を考えても二段階認証を設定するメリットは大きいと感じました。
『Xserver』には信頼して情報を預けていますが、自分自身での積極的なセキュリティ対策も必要ですからね。
他の多くのサービスで採用されている電話番号によるSMS認証は、突破されるケースも増えてきたみたいです。
2022年春の時点では、SMS認証よりも「認証コード生成アプリ」でのワンタイムパスワードの方がセキュリティ対策として望ましいのでは?という認識で良さそうです。
もちろん今後、アプリに重大な脆弱性が⁈なんてニュースが駆け巡らないとも限りません。
ネットで繋がってる以上、身を守る為のニュースには敏感でいましょう。
