【S】将来を考えたおすすめ2段階認証アプリ2選

おすすめ2段階認証アプリは2つだけセキュリティソフト・アプリ
この記事は約9分で読めます。

結論からいうと、

  • 一生使うならAuthy(オーシー)
  • 2段階認証の設定できるサービスが30もないなら、日本語でシンプルに使えるGoogle 認証システム

上記2択となっており、IIJ SmartKey(スマートキー)Google 認証システムの神アップデートにより、機種変更が超絶楽になったため現在は非推奨。

英語だということ以外「Authyの一人勝ち」だが、デメリットが多少あるので確認しよう。

2段階認証設定時に必要な情報保存や、セキュリティ意識向小ネタも紹介している。

スポンサーリンク

2段階認証とは

メールアドレスやパスワード以外に1つ認証を増やす。

近年、仮想通貨によるアカウント不正アクセス防御として爆発的に知名度を上げたが、そこそこ前からある「アカウント強度底上げ機能」だ。

ここで紹介する2段階認証はアプリを使用したものであり、他の方法は紹介しない。

パソコンが盗まれても「ワンタイムパスワードトークン(6桁の番号のこと)がスマホにしかない」ため、アカウント情報が流出しようが、2段階認証のおかげでログインされない。

パソコンの話をしたが、スマホでも意味はあるのでやっておこう。

たとえパスワードが誕生日でも、「記号を含めた64桁のパスワードになるほどの強度」だと思っている。元のパスワードを変えなくてもいいので、簡単さと高セキュリティを両立しているぞ。

このセキュリティはもはや当たり前であり、設定できるなら必ずやるシリーズである。ゆえに、一生使うならAuthyが圧倒的にオススメ。

2段階認証突破のケース

今のところ突破されたという明確な報告はなく、「すべてどこかで流出していた」と思われる。

ここで述べる「2段階認証突破」とは、何の情報も入手していない状態で、「インターネットからワンタイムパスワードトークンを不正取得する」ことを意味する。以下の考えられる流出経路に1つでも当てはまっていれば、2段階認証突破ではないということだ。
  • フィッシング詐欺(偽サイトや不審なメール)に2段階認証を含め情報を入力した
  • フリーWi-Fiや暗号化された共有Wi-Fiを使用したことがある
  • 同じアカウント情報を使いまわしている
  • マルウェア(ウイルス)感染、対策をしていない
  • 共有端末
  • 過去に端末の紛失・盗難があった
  • 過去に盗まれているアカウント情報を変更せず、ワンタイムパスワードを盗み見される(悪人ガチ勢)

これら1つでも当てはまっていると流出経路を作っており、認識の甘さがソコソコでている点に注意しよう。

特に、「暗号化された共有Wi-Fi」・「過去系」は盲点であり、気づいたときには何が原因かサッパリわからない。

これでは企業が原因としか、最初は思えないだろう。

暗号化されたWi-Fi参考パスワードが公開された公衆無線LAN、暗号化されていても盗聴できる?(アカウント登録必須)

仮に突破されているとしたらパスワードを誕生日にしている人はかなりいるはずなので、もうちょっと騒がれてもいいはず。

当然、これらは「2段階認証で対策するものではない」ので、意識するしかない。

設定していれば確かに底上げされるが、効果を100%引き出すなら「上記条件を守ることが前提」だと、なんとなく覚えておこう。

1つ言っておくが、あまりにもお粗末なことを除き、不正アクセスをされて悪いのは企業でも個人でもなく、犯人だけだ。

お粗末なパスワードをあまり変えずに強度を上げたり、盗み見に対応するテクニックは空き時間があれば確認するといい。

【三種の極意】パスワードの付け方テクニック集
新たにパスワードを考えるのは疲れるし、パスワード管理ソフトでも「マスターパスワード」というものが最低1つ必要だ。この...
電車内の覗き見・盗み見対策、モロ見えデンジャラス
修行すれば手の動きで入力内容を確認したり、毎日同じ時刻・車両に乗っているなら個人を狙うこともできる。よう...

Wi-Fiの強化方法(VPN)が気になるなら、以下の記事が役に立つ。

スポンサーリンク

おすすめ2段階認証アプリ

冒頭でも説明したとおり、電話番号があるのなら絶対にAuthy推奨だ。

Google 認証システムのマークがあったとしてもこれらのアプリで読み取れるので、安心してほしい。

スマホの現在の時間がめちゃめちゃズレている方は、時間がズレておかしなことになるので、どうにかして正常な時間にしよう。

一生使うならAuthy

やっぱりAuthy

複数の端末で使え、クラウド管理でバックアップにもなり、機種変更は同期するだけという利便性No.1アプリ。

欠点は「英語」・「電話番号(050不可)・SMS番号が必要」となっている。

「クラウド管理の不安」は、ワンタイムパスワードトークンのみで不正アクセスできないため、完全無視で良い。

英語は当サイトの「画像付き日本語解説」で大抵のことはやりすごせる。2段階認証設定サービスが30以上設定予定なら、よりこちらがオススメ。

ということで、「データSIM」以外の方はAuthyにするべきだ。

日本語でシンプルに使うならGoogle認証システム

Google認証システム

Authyが使えないなら、選択肢はこちらしかない。

シンプルでわかりやすくもちろん日本語、しかも電話番号・SMS番号がいらないとはいえ、情報が増えると以下のデメリットが浮き彫りになる。

  • アイコンがないので文字を読み必要がある(途中で結構なデメリットだと気づく)
  • 30以上数が増えてくると探すのに時間がかかる
  • 端末が1台その端末を紛失すると詰む
    • QRコードスキャン時に「別の端末でもスキャンする」などで対処は可能

2段階認証を設定できるサービスが30未満の「あまり使わない初心者用」、「2段階認証入門アプリ」的な位置づけで、増えれば増えるほど2段階認証アカウントを探す時間を取られる。

日本のサービスはまだまだ2段階認証対応が進んでいないので、将来ドンドン増えていく可能性が非常に高く、Authyの存在を考えると目劣りしがち。

それでも神アップデートにより機種変更が音速で終わるため、かなり使いやすくなった。

なお、使わないという選択肢はない。

スポンサーリンク

2段階認証設定時に一緒に保存するもの

「バックアップコード(Backup Code)」と「シークレットキー(Secret Key)」というものはバックアップになり、正しく保存すると緊急時の保険になる。

これらはQRコードの近くに「非常に長い文字列」として表示されているか、「バックアップコード(Backup Code)」・「シークレットキー(Secret Key)」・「別の方法で設定する」的な文言の場所にあるはずだ。

シークレットキーとはこんなの

桁数はバラバラでよくわからず、とりあえず保存しておけば良い。

保存場所は「デジタルの劣化しない暗号化されている場所」が良く、パスワード管理ソフトや端末・クラウド暗号化ソフトが激烈にオススメ。

バックアップコードとは

スマホなどの端末を紛失・盗難した際に、「設定したサービスの2段階認証をリセット(無効化)」、または「1回限り2段階認証の代わりになってログインできるコード」のこと。

基本的には6桁のコードを入力するページに「端末を紛失しましたか?」・「別の方法で認証しますか?」的な項目があるか、公式サイトのヘルプにバックアップコード入力ページが記載されており、そこでリセットすることになる。

忘れそうなら、この記事をブックマークしておこう。

シークレットキーとは

QRコードが何らかの理由で読み取れないときに、「手動で入力する文字列」のこと。

バックアップコードは「保存して!」と言われるのに対し、こちらは一切言われないので無視されがちだが、このシークレットキーを他の端末で入力すれば、そちらでも同じワンタイムパスワードが表示される。

つまり、「ワンタイムパスワードのシステムを文字列にしたもの」である。

バックアップコードと違い使い捨てではないうえ、ほとんどのサービスで「保管しろ」とは言われず独自保管になる=それがQRコードそのものだと知らない結果疎かになりやすいため、ここで知ったからにはシークレットキーの取扱いに注意。

バックアップコードと見分けがつかないなら、2段階認証アプリに文字列を入れてみて、「登録できたらシークレットキー」、「登録できなければバックアップコード」だ。

QRコードの保存

QRコードはシークレットキーをQRにしたものなので、「中にシークレットキーが入っている」。

バックアップコードとシークレットキーを表示してくれないサービスもあるので、QRコードの画像を保存しておけば無理矢理バックアップを作成できるってわけだ。

QRコードの表示されたページそのものをスクリーンショットすると「2段階認証のQRコード」だとバレバレなので、なんとなくQRコードだけに切り抜こう。
スポンサーリンク

画像は容量の問題もあり、別の抽出方法も紹介。

QRコードを「2段階認証アプリの読み取り」ではなく、「普通のQRコードアプリで読み取る」と文字列が表示される。

「secret=○○○&」の○部分がシークレットキーで、わからなかったりサービスによって文字列が違うなら、全部保存しておいて、未来の自分に丸投げしよう。
画面に表示されたQRコードを文字列に変えたいなら、「QRコード画像を保存」→「https化されているQRコード読み取り(QR Code Reader)にアップロード」→「シークレットキーを抽出」しよう。
こちらのサイトにアップロードするのが嫌なら、なんとなくプライベートブラウジングでアップロードするか、LINEやSafari・Googleレンズに同じ機能があるらしいので調べてみよう。

他にも「QR スキャン」とアプリの検索をかけたり(数多のアプリが問題ないかどうか調査していないため、有名どころの利用推奨)、カメラにQRコード読み取りがついていることもある。

ちなみに、上記QRサイトにシークレットキーがバレても、アカウント情報がないから不正アクセスできないので安心だ。

テクニック(バックアップコードを別の場所に保存)

私はやっていないのだが(盲点)、この記事のコメント欄で「ハッとした高等テク」を教えてもらった。

小生はID,PWと別のPW管理ソフトに保存しています。

引用:しげしげさんのコメント

「パスワード管理ソフトに侵入された場合」を想定するなら、2段階認証のコード(バックアップコード・シークレットキー)を別の場所、理想は別のパスワード管理ソフトに閉まっておくのがベストだ。

同じ場所に入れてしまった方はこの事実を胸に刻み、どうするか悩もう。

ぷっぷ
ぷっぷ

(∩゚д゚)きこえなーい

スポンサーリンク

流出経路を断つ

途中でも紹介したが、Wi-Fiを強制的に暗号化して自分専用にする「VPN」、メモ(バックアップコード)や画像も暗号化できる「パスワード管理ソフト」など、防御手段は存在する。

当サイトは無料で使用する方法も紹介しており、有料でも月々約219円といったセキュリティアップの割に安すぎなVPNサービス、パスワード管理ソフトに至っては自称ガチ勢が説明するので、大幅なセキュリティ意識向上を期待できる。

コメント

  1. しげしげ より:

    いつも参考にさせて戴いております。
    「シークレットキーの保管はリスクが高い」というのはどういう意味なのでしょうか?
    具体的にどのように管理するのが良いのでしょうか?
    ちなみに、小生はID,PWと別のPW管理ソフトに保存しています。

    QRスキャナというAndroidアプリを使うとローカルで解析できます

    • ぷっぷぷっぷ より:

      私の書き方が全体的におかしかったようです(*゚▽゚)

      「シークレットキーの保管はリスクが高い」というのはどういう意味なのでしょうか?
      具体的にどのように管理するのが良いのでしょうか?
      ちなみに、小生はID,PWと別のPW管理ソフトに保存しています。

      「シークレットキーの保管はリスクが高い」というのは、ほとんどのサービスで「保管しろ」とは言われず、独自保管になる=それがQRコードそのものだと知らない=バックアップコードは一度しか使えないけど、シークレットキーだとワンタイムパスワードそのもののため2段階認証崩壊という形を、省きに省いた注意喚起をした感じです。
      過去の私はなぜこの言い回しを使ったんだろう(´ε`;)
      訂正確定!
      というわけで、しげしげさんの保管方法が最上級で、IDとパスワードとは別の場所に保管するのは素晴らしいです!
      引き続きそのスタイルを貫いてOKです。

      QRスキャナというAndroidアプリを使うとローカルで解析できます

      あれー(゚~゚o) 確かQRスキャナがありすぎて、怪しいアプリにしか見えないからあえて省いたような気もするけど、「QRスキャナアプリ全否定」で不適切だなー(´ε`;)
      「カメラに付いている可能性」の存在もチラつかせていないし、なんだか不十分なのでこちらも追記させていただきます!

  2. しげしげ より:

    お返事有難うございます。話の流れがわかりました!

    QRコードのバックアップは結構盲点だと思います。Authyも突然のサービス終了やサーバーダウンがあれば、詰んでしまいます。
    (Authyはサーバーダウンしても、ローカルで動くのでしょうか??)

    ちなみに私はシークレットキーを含めログイン以外の第2PW、金融系によくある秘密の合言葉等いわゆる2FAは管理ソフトを別にしています。

    今後もよろしくお願いいたします

    • ぷっぷぷっぷ より:

      ほんと盲点です 笑 私同じとこにいれてる……
      でも、侵入確定したら全部変えちゃうから関係ないし!気づかなかった場合なんか知らない!(暴論)
      Authyのサーバーダウンも盲点でしたけど、動くみたいです。突如サービス停止はtwilioがKDDIと何かしているので、多分大丈夫(適当)
      セキュリティとは先の想定なのに、全然やりすぎてなかった(゚´Д`゚)゚。
      しげしげさんの方法は、参考にさせていただきますね∩(・∀・∩(やるとは言っていない)

  3. Miz より:

    「QRコード 画像から読み取り」で検索したところ、最近買ったスマホにプリインストールされていた Googleレンズが使えました(ヒットしたサイト:https://sp7pc.com/gadget/tips/26471)。

    • ぷっぷぷっぷ より:

      なんかいい記事だったので、記事中に追記させてもらいました(*゚▽゚)
      さらに、AuthyとIIJスマートキー側の方にも画面読み取りの際はこのようなツールがありますよの案内も追加させたので、利便性が向上したでしょう!
      ナイスアウトリーチ!

  4. ( ˘ω˘) より:

    昨日のGoogle認証システムの更新で機種変更機能(しかも一括)が付いたので、IIJ SmartKeyはもう必要ないかもしれません。

    • ( ˘ω˘) より:

      ごめんなさい、もう一度確認したら昨日じゃなかったです…。

    • ぷっぷぷっぷ より:

      あれ、本当だ。一昨日みたけど自動更新されてなかっただけなのかな。
      今日か明日中にはGoogleAuthenticatorの記事書いて「IIJ今までありがとう」にします∩(・∀・∩

  5. ライチュウ より:

    2段階認証ができてるかわかりませんどうすればいいですか?

    • ぷっぷぷっぷ より:

      確認の仕方は以下で大丈夫です∩(・∀・∩
      2段階認証を設定したサービスにログインして、メールアドレス・パスワードの他に2段階認証コードを求められたか?(求められなかったら設定できていない)
      2段階認証とは、いつものアカウント情報とは別の認証方法を追加したものです。
      6桁のコードの入力を求められなかった場合、設定できていないということがわかります。
      ただし、過去に「同じ端末からのログインは2段階認証をスキップする」などの文言にチェックを入れてログインすると、同じ端末であるかぎり当分の間2段階認証がスキップされます。
      その場合は該当サービスにログインし、「2段階認証設定を見て、設定されているか確認」できます。

  6. れっか より:

    # 私も素人なので話半分でお願いします。

    > パスワードが誕生日でも、「記号を含めた64桁のパスワードになるほどの強度」
    パスワードに必要な強度はサービス側の個人情報流出事故を想定するか否かで大きく変わります。
    十分に長いパスワードならば個人情報が流失しても
    サービス側が常識的な対策をしていれば不正ログインされませんが
    ワンタイムパスワードの場合、個人情報流出事故対策の機能はないと考えるのが自然でしょう (説明は長くなるので省略します)。
    また、そもそもの話として、ワンタイムパスワードの秘密鍵自体が64桁もありません

    また「どこかで流出していた」の例はおかしいのではないでしょうか。
    盗聴のリスクに強いのがアプリ方式のワンタイムパスワードでしょう。
    SMS認証方式の2段階認証ならばいろいろ盗聴の危険があるらしいですが、
    専用アプリで行うならば、ワンタイムパスワードは端末上で通信なしに生成されますし
    最初のQRコードの受け渡しも常識的にはTLSで保護されるので盗聴の可能性はありません。
    「同じアカウント情報を使いまわしている」というのも意味がわかりません
    ワンタイムパスワードの秘密鍵はサービス側が決めるのでそもそも使い回しは不可能です。

    そもそもユーザ側で流出しても大丈夫ってのがワンタイムパスワードのメインの売りであるはずなので
    流出だから突破ではないという主張はズレている気がします。

    認証アプリ形式の2段階認証の利点はまとめるとこんな感じでしょうか
    – キーロガーやフィッシング攻撃などの緩和(リアルタイムでログインされる高度な攻撃は防げない)
    – 非常に弱いパスワードをそこそこまともにする
    – SMS認証と比較して盗聴に強い
    – デフォルトではスマホの保護された領域に保存されるので、マルウェアの侵入に強い

    • ぷっぷぷっぷ より:

      パスワードが誕生日でも、「記号を含めた64桁のパスワードになるほどの強度」

      これはフォートナイトユーザー向けへの謳い文句であり、特に意味は狙っていません。
      別の言い方だと「フォートナイトユーザーへ向けたやる意味がありそうなインパクトな文言」として使っているだけだったりします。
      これが仮に嘘だったとしても「どうにかして導入させる」方に力を使った感じですね( Ꙭ)

      「同じアカウント情報を使いまわしている」というのも意味がわかりません
      ワンタイムパスワードの秘密鍵はサービス側が決めるのでそもそも使い回しは不可能です。

      すでに流出したアカウントを何も変更せずに、その状態で追跡されて後ろから見られるという奇跡に近い確率のことです。
      書いてる最中に思いついちゃったシリーズ!

      そもそもユーザ側で流出しても大丈夫ってのがワンタイムパスワードのメインの売りであるはずなので
      流出だから突破ではないという主張はズレている気がします。

      うーんうまく言えませんが、変更の予定はないです。
      「キーロガーやフィッシング攻撃などの緩和」はよくまとまっているので、今後注目効果としておそらく使わせていただきます。

タイトルとURLをコピーしました