Chrome拡張は正直まともに使えず公式も非推奨と述べているため、WindowsかMacのデスクトップアプリを試してみるといい(使い方が同じかどうかは知らない)。
パソコンで2段階認証を完結させると「セキュリティは低下」する。
だが、Authy(オーシー)は拡張機能の「セキュリティと利便性の両立に自信があるから作ったのではないのか?」という疑問が生じたので、乗り気じゃないまま使ってみることにした。
結果、「バックアップとして優秀」ということが判明したので、通常の使い方とその方法も紹介する。
Authyのアカウントがなければ、先にこちらで作ってこよう。
AuthyChrome拡張機能とは
「Chromeブラウザでワンタイムパスワードを確認できる拡張機能」というのは一部嘘で、本当は『Chromeアプリ』のことだ。
そして、今回判明したトークンコピーを無視した使い方はただのバックアップとして使うだけ。
実はAuthy、端末を紛失したときに別のAuthyを入れられる端末を持っていなければ、復元するのにセキュリティ確認のため24時間待たされる。
この利点があるかぎり、「パソコンで完結させたことによるセキュリティの低下なんぞどうでもいい」。
スマホを紛失する確率を警戒するほうが現実的だろう。
ただ、Chromeアプリのことをよく知らないのだが、今後Chromebook以外では使えなくなる可能性があるようだ。
サポート終了は段階的に実行する予定。まず年内にChrome Web StoreでのWindows、Mac、Linux向けアプリの新規受付を終了。続いて2017年後半には提供そのものも終了します。さらに翌2018年前半には、これらOS上でChromeアプリが動作しなくなる予定です。
引用:Google、Win/Mac/Linux向けChromeアプリを廃止へ。配布は来年後半まで、2018年前半で起動も不能に – Engadget 日本版
思いっきり2018年後半なのにダウンロードもできるし普通に使えているので、私が勘違いしているだけかもしれない。
ダウンロード・セットアップ
ChromeウェブストアにあるChromeアプリは必須なので、ダウンロードしていこう。
Authy – Chrome ウェブストア(すでに非推奨なのでWindowsかMacアプリ推奨)にアクセスし、「Chromeに追加」を選択。
もちろん権限も許可。
そうするとアプリという項目にAuthyが追加されるのでクリック。
次に、使用中の電話番号を入力するように言われるので入力。
アプリと同じように電話番号の頭の0を抜く必要はなかったので(勝手に抜いてくれる)、そのまま入れよう。
どの方法で認証をするか言われるが、「Use existing device(既存のデバイスで確認)」で良い。
「Waiting for approval(承認待ち)」となるので、元々使っていた端末を確認すると通知が来ているはずだ。
ステータスバーに項目が出現(出ないかも)、タップすると「新しい端末を許可しますか?」と聞いてくるので、「ACCEPT(受諾)」を選択して許可 →「OK」(小文字でも可)と入力してOK!。
すると、最後に「Success(成功)」表示がでてきてログインが成功する。
さっそく今まで登録した情報がでてくるが、バックアップパスワードを設定していた場合は暗号化されたままで使えない。
クリックして暗号化を解除しよう。
これでワンタイムパスワードが使用できるようになった。
マスターパスワードの設定
マスターパスワードを設定するとアプリを起動するたびにパスワード入力を求めさせることができ、「共有パソコンやバックアップとして使うなら設定必須」だ。
正確には図っていないが、5分以内に自動でロックもかかる。
左上にある「歯車マーク(設定)」を!マークが付いていてもいなくてもクリック。
設定の「Account(アカウント)」タブが表示される。
「Master password(マスターパスワード)」に「バックアップパスワードとは違うパスワード」を入力→「Set(セット)」→ ConfirmPassword 「Re-enter your Password(パスワードをもう一度入力)」→「Save(保存)」。
上記画像にもあるが、「設定からトークン確認ウィンドウまで戻る方法」は「×」で閉じるしか存在しない。
拡張機能のダウンロード
Chrome右上のAuthyマークをクリックして「Authyアプリ」を召喚したり、トークンをコピーした際に開いていたページが怪しいと、警告を出してフィッシング詐欺を防止してくれる拡張機能。
私的に「Chrome右上に表示されるショートカット程度のメリット」しかないものに権限を与えるのが嫌だが、紹介はしておく。
Authy Chrome Extension – Chrome ウェブストア(すでに利用できないためWindowsかMacアプリ推奨)でダウンロードするか、さきほどのマスターパスワード設定の下にあるリンクからアクセス。
この「Install extension」表示がないなら、あなたはすでにインストールしている。
Authy Chrome Extensionを「Chromeに追加」、権限も許可しよう。
ChromeアプリはAuthyだったが、こっちには「Chrome Extension(拡張)」の文字がある。
とくに設定をする必要もなく、これで拡張機能は完了した。
Windowsのデスクトップ下にあるタスクバーにピン留めをすれば、同じようなショートカットを作れるよ!
使い方
項目をクリックしてコピペするだけだ。
アカウントを追加
「歯車マーク(設定)」の下にならどこにでもある「Add Authenticator Account(認証アカウントを追加)」をクリック。
「シークレットキー(コード)の入力項目」がでるので入力していこう。
「ロゴ(アイコン)」・「桁数」・「名前」を選択でき、ロゴであろうが選択しないと登録できないのですべて登録しよう。
QRからシークレットキー抽出
QRコードしかないなら抽出するしかない。
「QRコード画像を保存」→「https化されているQRコード読み取り(QR Code Reader)にアップロード」→「シークレットキーを抽出」しよう。
「secret=○○○&」の○部分がシークレットキーで、わからなかったりサービスによって文字列が違うなら、大文字英語と数字の長いものを探しだし入力してみよう。
このサイトにアップロードするのが怖かったとしても、シークレットキーだけでは不正アクセスできないぞ。
アカウントの編集
「歯車マーク(設定)」→「External Accounts(外部から入れたアカウント)」から編集したいアカウント情報をクリック。
あとはアカウントの追加と同じようにロゴ・桁数・名前を変更しよう。
バックアップ・同期する
「歯車マーク(設定)」の下にならどこにでもある「Backups & Sync(バックアップと同期)」をクリック。
スマホと同じように「バックアップと同期するなら、バックアップパスワードを入力して暗号化しよう」と言われるので、「スマホで設定したバックアップパスワード」を入力。
設定が完了すると、「External Accounts(外部から入れたアカウント)」の下の方に「Backups Password(バックアップパスワード)」を変更できる表示が出現し、同期完了マークの「緑のモクモク」も表示される。
スマホの方に「Your backups password has changed(あなたのパスワードは変更されました)」という表示も出現し、変更したつもりじゃないという疑問を抱えたまま仕方なくスマホで入力していこう。
このChromeアプリの不満まとめ
- ショートカットがない
- マスターパスワード → アカウント → トークンコピー → 貼り付けの4ステップが長い
- ロックのかかる時間を選べない
- 設定からトークンに戻る方法がわかりづらい
- アカウントの編集から戻る方法がわかりづらい
- ウィンドウのサイズを変えられない
- 並び替えできない
- マスターパスワード削除方法がアプリからできない
- そもそもAuthyの同期システムがおかしいような?
上記デメリットを吹き飛ばすバックアップとしての使い方がなければ、絶対に使っていない。
Authy端末の盗難・紛失時の対応
「歯車マーク(設定)」の「Devices(端末)」タブにある紛失した端末を削除する。
これで新しい端末を登録した際に下の画像の「Chromeアプリ版」が表示され、紛失した端末のほうでは表示されなくなるはずだ。
おそらく、これをしないと「紛失した端末に下の表示が出てしまう」のではないだろうか。
公式サイトAuthyアカウント復元(英語)
あとは、端末のロック・データ消去を覚えておけばリスクは軽減されるだろう。
Androidの記事で申し訳ないが、「友達の個人情報を所持していることを自覚する」などセキュリティ意識は向上するので、iPhoneユーザーでもどうぞ。
Googleアカウントの2段階認証設定のついでに、バックアップコードの取得も紹介している。
コメント
今朝早々にお答えいただきありがとうございます。
セキュリティキーですか……とても魅力的ですね。
別に「電磁波過敏症」っていうわけではないです。スマホ便利そうですけどね。
ご丁寧なアドバイス、ありがとうございます。
使ってないだけかーい! オラァ( っ・∀・)≡⊃ ゚∀゚)・∵.
私もスマホをほとんど使ってないのであまりうまくは言えませんが、人と連絡を取ることができるのは最大の魅力です(適当)
流石にiPhoneとAndroid両方を持っていないと回答出来ない問題があるので、今年新発売のには手をだしそうですけどね!
そういえばですが、iPhoneと言ったら少し前に発売された「iPhoneSE2」めっちゃ安くておすすめですよ!
それか、少し待って「iPhone12」の下位バージョンも安いとどこかで言ってたので。買う時はこのどっちかがお勧めですよ。
もちろん知ってるけど、別に今すぐ欲しいというわけでもないので9月、または10月まで待てるので今は12狙いでーす∩(・∀・∩
でも、もし12に不満かつ11にも不満だったらSE2でノッチなしのやりすぎ映えを狙うかも。
ぷっぷさんこんにちは、電悩過敏症です。やりすぎくらいが丁度いいセキュリティ情報をありがとうございます。
デスクトップ環境でのAuthyの利用で「セキュリティは低下」するとのことですが、SMSを用いた二段階認証とどちらが高リスクですか?私はスマホを持っていないのでアプリが入れられません。
やはり単一デバイスで二段階認証を完結するより、脆弱性があっても別デバイスでの認証を優先するべきでしょうか?
最近書いたPayPalのコメントにちょうど答えが書いてあるので一応それを見てください!
ようは、確かですけどSMSのぜい弱性はしょぼいというか気にする必要ある?的なものだったはずです(何かは忘れた)。
となると、「デスクトップですべて完結、デスクトップが盗まれたら解散」より、「SMSで二段階認証!デスクトップが盗まれても、同時にスマホが盗まれていなければセーフ!」の方が明確に有利ですね∩(・∀・∩
「電悩過敏症」さんは本当に電悩過敏症だと思うと、スマホはキツいのかな?
となると、セキュリティキーと相性良さそうですね。
使えるサービスはろくにありませんが(日本とか特に)、通信するようなものじゃないので登録するサービス次第では役に立つかも(゚~゚o)
参考ワンタイムパスワードトークンYubiKey |(株)ソフト技研(日本代理店で、amazonでしか買えません!)
デスクトップ自体にも設定できるはず。
参考Windows Hello またはセキュリティ キーで Microsoft アカウントにサインインする – Windows Help
Windows自体を強固にするのが理想的かな?
そうなるとBitLocker(Pro版のみ)かVeraCrypt(セキュリティキー使えなさそう)で暗号化したいけど、OSの暗号化は私も未知の領域なので、次のレベルアップ先として認識しておいてください。
こちらのサイトを拝見してAuthyを導入しました。大変助かっています。
AuthyのChrome拡張、私の場合はなぜかAndroidから登録したものも同期されなくて困ってました。
Chromeじゃない普通のソフトないのかなぁと思って探したらありました…。
https://authy.com/
公式の、ずーっと下のほうに「DOWNLOAD」というリストがあるのですが、そこに
・IOS
・ANDROID
・CHROME
・MACOS
・WIN32
・WIN64
と並んでまして、MacまたはWin使いならChrome拡張よりそちらのアプリケーションのほうがいいかもですね。
私はWin64のほう導入してみましたが、こちらはしっかり同期されました。
さようならChrome拡張……。
えーー!(゚Д゚;)
あったの知らなかったので、冒頭に存在を追記しておきました……。
当時から使えば使うほど不満続出で困惑しており、ちょっと無駄な記事になっちゃった感が凄い(´ε`;)
存在を知らせてくれてありがとうございます!