結論からいうと、
- 一生使うならAuthy(オーシー)
- 2段階認証の設定できるサービスが30もないなら、日本語でシンプルに使えるGoogle 認証システム
上記2択となっており、IIJ SmartKey(スマートキー)はGoogle 認証システムの神アップデートにより、機種変更が超絶楽になったため現在は非推奨。
英語だということ以外「Authyの一人勝ち」だが、デメリットが多少あるので確認しよう。
2段階認証設定時に必要な情報保存や、セキュリティ意識向小ネタも紹介している。
2段階認証とは
メールアドレスやパスワード以外に1つ認証を増やす。
近年、仮想通貨によるアカウント不正アクセス防御として爆発的に知名度を上げたが、そこそこ前からある「アカウント強度底上げ機能」だ。
パソコンが盗まれても「ワンタイムパスワードトークン(6桁の番号のこと)がスマホにしかない」ため、アカウント情報が流出しようが、2段階認証のおかげでログインされない。
パソコンの話をしたが、スマホでも意味はあるのでやっておこう。
このセキュリティはもはや当たり前であり、設定できるなら必ずやるシリーズである。ゆえに、一生使うならAuthyが圧倒的にオススメ。
2段階認証突破のケース
今のところ突破されたという明確な報告はなく、「すべてどこかで流出していた」と思われる。
- フィッシング詐欺(偽サイトや不審なメール)に2段階認証を含め情報を入力した
- フリーWi-Fiや暗号化された共有Wi-Fiを使用したことがある
- 同じアカウント情報を使いまわしている
- マルウェア(ウイルス)感染、対策をしていない
- 共有端末
- 過去に端末の紛失・盗難があった
- 過去に盗まれているアカウント情報を変更せず、ワンタイムパスワードを盗み見される(悪人ガチ勢)
これら1つでも当てはまっていると流出経路を作っており、認識の甘さがソコソコでている点に注意しよう。
特に、「暗号化された共有Wi-Fi」・「過去系」は盲点であり、気づいたときには何が原因かサッパリわからない。
これでは企業が原因としか、最初は思えないだろう。
暗号化されたWi-Fi参考パスワードが公開された公衆無線LAN、暗号化されていても盗聴できる?(アカウント登録必須)
当然、これらは「2段階認証で対策するものではない」ので、意識するしかない。
設定していれば確かに底上げされるが、効果を100%引き出すなら「上記条件を守ることが前提」だと、なんとなく覚えておこう。
1つ言っておくが、あまりにもお粗末なことを除き、不正アクセスをされて悪いのは企業でも個人でもなく、犯人だけだ。
お粗末なパスワードをあまり変えずに強度を上げたり、盗み見に対応するテクニックは空き時間があれば確認するといい。
Wi-Fiの強化方法(VPN)が気になるなら、以下の記事が役に立つ。
おすすめ2段階認証アプリ
冒頭でも説明したとおり、電話番号があるのなら絶対にAuthy推奨だ。
Google 認証システムのマークがあったとしてもこれらのアプリで読み取れるので、安心してほしい。
一生使うならAuthy
複数の端末で使え、クラウド管理でバックアップにもなり、機種変更は同期するだけという利便性No.1アプリ。
欠点は「英語」・「電話番号(050不可)・SMS番号が必要」となっている。
英語は当サイトの「画像付き日本語解説」で大抵のことはやりすごせる。2段階認証設定サービスが30以上設定予定なら、よりこちらがオススメ。
ということで、「データSIM」以外の方はAuthyにするべきだ。
日本語でシンプルに使うならGoogle認証システム
Authyが使えないなら、選択肢はこちらしかない。
シンプルでわかりやすくもちろん日本語、しかも電話番号・SMS番号がいらないとはいえ、情報が増えると以下のデメリットが浮き彫りになる。
- アイコンがないので文字を読み必要がある(途中で結構なデメリットだと気づく)
- 30以上数が増えてくると探すのに時間がかかる
- 端末が1台でその端末を紛失すると詰む
- QRコードスキャン時に「別の端末でもスキャンする」などで対処は可能
2段階認証を設定できるサービスが30未満の「あまり使わない初心者用」、「2段階認証入門アプリ」的な位置づけで、増えれば増えるほど2段階認証アカウントを探す時間を取られる。
日本のサービスはまだまだ2段階認証対応が進んでいないので、将来ドンドン増えていく可能性が非常に高く、Authyの存在を考えると目劣りしがち。
なお、使わないという選択肢はない。
2段階認証設定時に一緒に保存するもの
「バックアップコード(Backup Code)」と「シークレットキー(Secret Key)」というものはバックアップになり、正しく保存すると緊急時の保険になる。
これらはQRコードの近くに「非常に長い文字列」として表示されているか、「バックアップコード(Backup Code)」・「シークレットキー(Secret Key)」・「別の方法で設定する」的な文言の場所にあるはずだ。
桁数はバラバラでよくわからず、とりあえず保存しておけば良い。
保存場所は「デジタルの劣化しない暗号化されている場所」が良く、パスワード管理ソフトや端末・クラウド暗号化ソフトが激烈にオススメ。
バックアップコードとは
スマホなどの端末を紛失・盗難した際に、「設定したサービスの2段階認証をリセット(無効化)」、または「1回限り2段階認証の代わりになってログインできるコード」のこと。
基本的には6桁のコードを入力するページに「端末を紛失しましたか?」・「別の方法で認証しますか?」的な項目があるか、公式サイトのヘルプにバックアップコード入力ページが記載されており、そこでリセットすることになる。
シークレットキーとは
QRコードが何らかの理由で読み取れないときに、「手動で入力する文字列」のこと。
バックアップコードは「保存して!」と言われるのに対し、こちらは一切言われないので無視されがちだが、このシークレットキーを他の端末で入力すれば、そちらでも同じワンタイムパスワードが表示される。
つまり、「ワンタイムパスワードのシステムを文字列にしたもの」である。
バックアップコードと見分けがつかないなら、2段階認証アプリに文字列を入れてみて、「登録できたらシークレットキー」、「登録できなければバックアップコード」だ。
QRコードの保存
QRコードはシークレットキーをQRにしたものなので、「中にシークレットキーが入っている」。
バックアップコードとシークレットキーを表示してくれないサービスもあるので、QRコードの画像を保存しておけば無理矢理バックアップを作成できるってわけだ。
画像は容量の問題もあり、別の抽出方法も紹介。
QRコードを「2段階認証アプリの読み取り」ではなく、「普通のQRコードアプリで読み取る」と文字列が表示される。
他にも「QR スキャン」とアプリの検索をかけたり(数多のアプリが問題ないかどうか調査していないため、有名どころの利用推奨)、カメラにQRコード読み取りがついていることもある。
ちなみに、上記QRサイトにシークレットキーがバレても、アカウント情報がないから不正アクセスできないので安心だ。
テクニック(バックアップコードを別の場所に保存)
私はやっていないのだが(盲点)、この記事のコメント欄で「ハッとした高等テク」を教えてもらった。
小生はID,PWと別のPW管理ソフトに保存しています。
引用:しげしげさんのコメント
「パスワード管理ソフトに侵入された場合」を想定するなら、2段階認証のコード(バックアップコード・シークレットキー)を別の場所、理想は別のパスワード管理ソフトに閉まっておくのがベストだ。
同じ場所に入れてしまった方はこの事実を胸に刻み、どうするか悩もう。
(∩゚д゚)きこえなーい
流出経路を断つ
途中でも紹介したが、Wi-Fiを強制的に暗号化して自分専用にする「VPN」、メモ(バックアップコード)や画像も暗号化できる「パスワード管理ソフト」など、防御手段は存在する。
当サイトは無料で使用する方法も紹介しており、有料でも月々約219円といったセキュリティアップの割に安すぎなVPNサービス、パスワード管理ソフトに至っては自称ガチ勢が説明するので、大幅なセキュリティ意識向上を期待できる。
コメント
2段階認証ができてるかわかりませんどうすればいいですか?
確認の仕方は以下で大丈夫です∩(・∀・∩
2段階認証を設定したサービスにログインして、メールアドレス・パスワードの他に2段階認証コードを求められたか?(求められなかったら設定できていない)
2段階認証とは、いつものアカウント情報とは別の認証方法を追加したものです。
6桁のコードの入力を求められなかった場合、設定できていないということがわかります。
ただし、過去に「同じ端末からのログインは2段階認証をスキップする」などの文言にチェックを入れてログインすると、同じ端末であるかぎり当分の間2段階認証がスキップされます。
その場合は該当サービスにログインし、「2段階認証設定を見て、設定されているか確認」できます。
昨日のGoogle認証システムの更新で機種変更機能(しかも一括)が付いたので、IIJ SmartKeyはもう必要ないかもしれません。
ごめんなさい、もう一度確認したら昨日じゃなかったです…。
あれ、本当だ。一昨日みたけど自動更新されてなかっただけなのかな。
今日か明日中にはGoogleAuthenticatorの記事書いて「IIJ今までありがとう」にします∩(・∀・∩
記事楽しみにしています!
ホイ( ・ω・)/
「QRコード 画像から読み取り」で検索したところ、最近買ったスマホにプリインストールされていた Googleレンズが使えました(ヒットしたサイト:https://sp7pc.com/gadget/tips/26471)。
なんかいい記事だったので、記事中に追記させてもらいました(*゚▽゚)
さらに、AuthyとIIJスマートキー側の方にも画面読み取りの際はこのようなツールがありますよの案内も追加させたので、利便性が向上したでしょう!
ナイスアウトリーチ!
お返事有難うございます。話の流れがわかりました!
QRコードのバックアップは結構盲点だと思います。Authyも突然のサービス終了やサーバーダウンがあれば、詰んでしまいます。
(Authyはサーバーダウンしても、ローカルで動くのでしょうか??)
ちなみに私はシークレットキーを含めログイン以外の第2PW、金融系によくある秘密の合言葉等いわゆる2FAは管理ソフトを別にしています。
今後もよろしくお願いいたします
ほんと盲点です 笑 私同じとこにいれてる……
でも、侵入確定したら全部変えちゃうから関係ないし!気づかなかった場合なんか知らない!(暴論)
Authyのサーバーダウンも盲点でしたけど、動くみたいです。突如サービス停止はtwilioがKDDIと何かしているので、多分大丈夫(適当)
セキュリティとは先の想定なのに、全然やりすぎてなかった(゚´Д`゚)゚。
しげしげさんの方法は、参考にさせていただきますね∩(・∀・∩(やるとは言っていない)
いつも参考にさせて戴いております。
「シークレットキーの保管はリスクが高い」というのはどういう意味なのでしょうか?
具体的にどのように管理するのが良いのでしょうか?
ちなみに、小生はID,PWと別のPW管理ソフトに保存しています。
QRスキャナというAndroidアプリを使うとローカルで解析できます
私の書き方が全体的におかしかったようです(*゚▽゚)
「シークレットキーの保管はリスクが高い」というのは、ほとんどのサービスで「保管しろ」とは言われず、独自保管になる=それがQRコードそのものだと知らない=バックアップコードは一度しか使えないけど、シークレットキーだとワンタイムパスワードそのもののため2段階認証崩壊という形を、省きに省いた注意喚起をした感じです。
過去の私はなぜこの言い回しを使ったんだろう(´ε`;)
訂正確定!
というわけで、しげしげさんの保管方法が最上級で、IDとパスワードとは別の場所に保管するのは素晴らしいです!
引き続きそのスタイルを貫いてOKです。
あれー(゚~゚o) 確かQRスキャナがありすぎて、怪しいアプリにしか見えないからあえて省いたような気もするけど、「QRスキャナアプリ全否定」で不適切だなー(´ε`;)
「カメラに付いている可能性」の存在もチラつかせていないし、なんだか不十分なのでこちらも追記させていただきます!