7.3. ユーザの認証

ウェブブラウザでユーザ個人の専用の内容を表示したりデータを送信したりすることがあります。たとえば履修登録システムを使うときです。このような状況を、個別のサービスを利用すると呼ぶことにします。

個別サービスを利用するためには、サービスを提供するウェブサイトに、そのサイトのアカウントで ログイン します。東京大学の学生の場合、2種類のアカウントにログインして授業を受けていることが多いでしょう。

10桁の数字あるいは10桁の数字@utac.u-tokyo.ac.jp
UTAS, ITC-LMSなど本学のシステムと Office365などMicrosoft社提供のサービスで利用
自分で決めた文字列@g.ecc.u-tokyo.ac.jp ECCSクラウドメール (gmail), google drive などGoogle 社提供のサービスで利用

右図は Google Drive へのログイン画面の例です。最近の多くのサービスでは、ユーザを識別する情報として電子メールアドレス (の文法に従った文字列) を使います。この文字列は、実際の電子メールとは無関係のこともあります (例 @utac.u-tokyo.ac.jp)。

ログインに成功すると、成功した証拠が Cookie という情報として手元のブラウザに蓄えられ、以降そのブラウザから該当サイトへのアクセスは個人アカウントと結びつけらます。時間が経過してサーバが無効化するか、ユーザがログアウト操作をする (ウェブサイトにより手順は異なります) まで有効です。

iMac 端末へのログイン・ログアウトとブラウザでのログイン・ログアウトを区別してください。

Microsoft社のサービスではログイン・ログアウトの代わりに サインイン サインアウト と呼ぶようです。意味は同じです。

情報教育棟の大教室の対面授業などで大人数が一斉にログインすると、パスワードが正しくてもログインできないことがあります。後のページで、回避方法を説明します。

9.5. 2段階認証

ウェブと認証 #

このHWBも含めて、ウェブの基本的な使い方では URL に対応する文書が表示されました。このとき表示される内容は誰がアクセスしても同じです。

一方、個別のサービスを利用するときは、ユーザとサーバ (情報提供側) の双方でお互いを正しく認識する必要があります。つまり、片方が相手方を誤認すると不具合が生じます。

サーバによるユーザの認識 #

サーバがユーザを誤認すると、ユーザの情報が別のユーザや部外者に漏洩します。たとえば、ユーザのパスワードが他者に知られてしまうとこの状況が起こります。

他にサーバに不具合がある場合はユーザの立場では防ぎようがありません。HWBでは、大学が契約しているシステムは正しく運用されているという立場で説明を書きます。

ユーザによるサーバの認識 #

ユーザがサーバを誤認すると、ユーザが自分の個人の情報を偽サーバに送信してしまいます。たとえば、よく似せた偽サイトに気づかずにログインしようとするとパスワードを知られてしまいます (このような攻撃をフィッシング詐欺と呼びます)。

安全な習慣 #

以下の習慣は推奨されます

よく使うサイトはブックマークし、ブックマークから開いたサイトにログインする
パスワードを入力する前に、深呼吸する
(個人PCの場合) ブラウザを最新版に更新してから、使用する

以下のような行動をとるまえによく考えましょう:

大学管理でも自分のPCでもない環境のブラウザで、ログインする

初めてのサイトに、ログインする

電子メールで知らされた URL をクリックして、ログインする

ブラウザウィンドウ右上の赤い「更新」ボタンが、更新があることを示しています。個人所有のPCの場合は、クリックすることですぐに最新版に切り替えることができます。大学管理の端末の場合は、更新は管理者のみができます。

https #

入学直後など、正当と思われるサービスをはじめて使う際は、丁寧にURLを確認しましょう。下図はGoogle Drive へのログイン画面のアドレスバーで、鍵マークをクリックしたスクリーンショットです。

URLのドメイン名が google.com で終わる (他に u-tokyo.ac.jp microsoft.com などいくつか覚える必要があります)
「この接続は保護されています」と表示がある
ウェブブラウザから警告が出ていない

コンピュータあるいはウェブブラウザへのすべてのキーボード入力を記録することが、技術的には可能です。友人のPCを借りることは一般に推奨されませんが、そこでHWBを読んで一緒に勉強することと、ログインして個別サービスを利用することには大きな差があります。

プライベートブラウズ #

ログインすると、別のウィンドウや別のタブでもその状態が共有されます。一方なんらかの事情で、ログインしていない状態の表示をみてみたいという時は、プライベートブラウズやシークレットモードと呼ばれる機能を使います。

プライベートブラウズでは、通常モードでのWeb サイトへのログインなどの情報は共有されず、まっさらな状態からブラウズを始めることができます。またプライベートブラウズでもログインすることができますが、ブラウザを閉じるとログイン情報や閲覧履歴は削除されます。履歴をブラウザに残したくないときにも有用な機能です。