【邪道】AuthyChrome拡張機能の趣旨を無視した使い方

Authyの拡張機能を使う
追記:2020年4月29日

Chrome拡張は正直まともに使えず公式も非推奨と述べているため、WindowsかMacのデスクトップアプリを試してみるといい(使い方が同じかどうかは知らない)。

パソコンで2段階認証を完結させると「セキュリティは低下」する。

ログインの際にパソコンとスマホ両方が必要だったのに、パソコンで2段階認証コードが確認できてしまい、「パソコンを盗む」という選択肢が増えたため。

だが、Authy(オーシー)は拡張機能の「セキュリティと利便性の両立に自信があるから作ったのではないのか?」という疑問が生じたので、乗り気じゃないまま使ってみることにした。

結果、「バックアップとして優秀」ということが判明したので、通常の使い方とその方法も紹介する。

Authyのアカウントがなければ、先にこちらで作ってこよう。

スポンサーリンク

AuthyChrome拡張機能とは

「Chromeブラウザでワンタイムパスワードを確認できる拡張機能」というのは一部嘘で、本当は『Chromeアプリ』のことだ。

そして、今回判明したトークンコピーを無視した使い方はただのバックアップとして使うだけ。

実はAuthy、端末を紛失したときに別のAuthyを入れられる端末を持っていなければ、復元するのにセキュリティ確認のため24時間待たされる。

「復元中にAuthyアプリはすべて無効化」されるが、Authyに侵入されるより「端末のロック・データ消去の方が先」なので、Googleアカウントなどにログインしてロック・データ消去できる状態を最低でも残しておかなければならない。

この利点があるかぎり、「パソコンで完結させたことによるセキュリティの低下なんぞどうでもいい」。

スマホを紛失する確率を警戒するほうが現実的だろう。

といいながら、バックアップコードがあれば問題はない。
公式サイトAuthyアカウント復元(英語)

ただ、Chromeアプリのことをよく知らないのだが、今後Chromebook以外では使えなくなる可能性があるようだ。

サポート終了は段階的に実行する予定。まず年内にChrome Web StoreでのWindows、Mac、Linux向けアプリの新規受付を終了。続いて2017年後半には提供そのものも終了します。さらに翌2018年前半には、これらOS上でChromeアプリが動作しなくなる予定です。

引用:Google、Win/Mac/Linux向けChromeアプリを廃止へ。配布は来年後半まで、2018年前半で起動も不能に – Engadget 日本版

思いっきり2018年後半なのにダウンロードもできるし普通に使えているので、私が勘違いしているだけかもしれない。

スポンサーリンク

ダウンロード・セットアップ

ChromeウェブストアにあるChromeアプリは必須なので、ダウンロードしていこう。

Authy – Chrome ウェブストア(すでに非推奨なのでWindowsかMacアプリ推奨)にアクセスし、「Chromeに追加」を選択。

Chromeに追加

もちろん権限も許可。

アプリを追加

そうするとアプリという項目にAuthyが追加されるのでクリック。

この場所が初見でよくわからない方は、「右クリック」してデスクトップにショートカットでも作っておこう。よくわからないということは、あえてショートカットを作らないことでAuthyの存在を隠すこともできる。
右クリックでショートカットも作れる

次に、使用中の電話番号を入力するように言われるので入力。

アプリと同じように電話番号の頭の0を抜く必要はなかったので(勝手に抜いてくれる)、そのまま入れよう。

電話番号・SMS番号を入力

どの方法で認証をするか言われるが、「Use existing device(既存のデバイスで確認)」で良い。

Use existing deviceを選択

「Waiting for approval(承認待ち)」となるので、元々使っていた端末を確認すると通知が来ているはずだ。

ステータスバーに項目が出現(出ないかも)、タップすると「新しい端末を許可しますか?」と聞いてくるので、「ACCEPT(受諾)」を選択して許可 →「OK」(小文字でも可)と入力してOK!。

ステータスバーの通知をタップ
許可をする
OKとタイプ

すると、最後に「Success(成功)」表示がでてきてログインが成功する。

成功!

さっそく今まで登録した情報がでてくるが、バックアップパスワードを設定していた場合は暗号化されたままで使えない。

クリックして暗号化を解除しよう。

適当に情報をクリック
バックアップパスワードを入力して解除

これでワンタイムパスワードが使用できるようになった。

マスターパスワードの設定

マスターパスワードを設定するとアプリを起動するたびにパスワード入力を求めさせることができ、「共有パソコンやバックアップとして使うなら設定必須」だ。

正確には図っていないが、5分以内に自動でロックもかかる。

閉じただけでも毎回求められ、短時間で何個も入力するわけじゃないので我慢しよう。なお、私はKeePassを使いズルい方法でマスターパスワードを自動入力している。

左上にある「歯車マーク(設定)」を!マークが付いていてもいなくてもクリック。

歯車マークの設定へ進む

設定の「Account(アカウント)」タブが表示される。

「Master password(マスターパスワード)」に「バックアップパスワードとは違うパスワード」を入力→「Set(セット)」→ ConfirmPassword 「Re-enter your Password(パスワードをもう一度入力)」→「Save(保存)」。

マスターパスワードを設定する
マスターパスワードの削除はここではできず、Chromeアプリを削除しないとダメなようだ。

上記画像にもあるが、「設定からトークン確認ウィンドウまで戻る方法」は「×」で閉じるしか存在しない。

拡張機能のダウンロード

Chrome右上のAuthyマークをクリックして「Authyアプリ」を召喚したり、トークンをコピーした際に開いていたページが怪しいと、警告を出してフィッシング詐欺を防止してくれる拡張機能。

私的に「Chrome右上に表示されるショートカット程度のメリット」しかないものに権限を与えるのが嫌だが、紹介はしておく。

仮想通貨など「フィッシングのブラックリスト登録が追いつかない業界」はどこも警告が追いつかないので微妙。

Authy Chrome Extension – Chrome ウェブストア(すでに利用できないためWindowsかMacアプリ推奨)でダウンロードするか、さきほどのマスターパスワード設定の下にあるリンクからアクセス。

この「Install extension」表示がないなら、あなたはすでにインストールしている。

拡張機能のリンク

Authy Chrome Extensionを「Chromeに追加」、権限も許可しよう。

ChromeアプリはAuthyだったが、こっちには「Chrome Extension(拡張)」の文字がある。

Chrome拡張機能を追加する

とくに設定をする必要もなく、これで拡張機能は完了した。

ぷっぷ
ぷっぷ

Windowsのデスクトップ下にあるタスクバーにピン留めをすれば、同じようなショートカットを作れるよ!

スポンサーリンク

使い方

項目をクリックしてコピペするだけだ。

トークンをコピーして貼り付けするだけ

アカウントを追加

「歯車マーク(設定)」の下にならどこにでもある「Add Authenticator Account(認証アカウントを追加)」をクリック。

アカウントを追加する

「シークレットキー(コード)の入力項目」がでるので入力していこう。

シークレットキー入力

「ロゴ(アイコン)」・「桁数」・「名前」を選択でき、ロゴであろうが選択しないと登録できないのですべて登録しよう。

「Token length(トークンの長さ)」は「6-digit(6桁)」推奨。他の桁数はほとんどのサービスが対応しておらず、エラーになる。間違えて設定してもシークレットキー自体が変わるわけではなく、アカウントの編集で変更はできるので安心しよう。
アカウント情報設定

QRからシークレットキー抽出

QRコードしかないなら抽出するしかない。

「QRコード画像を保存」→「https化されているQRコード読み取り(QR Code Reader)にアップロード」→「シークレットキーを抽出」しよう。

「secret=○○○&」の○部分がシークレットキーで、わからなかったりサービスによって文字列が違うなら、大文字英語と数字の長いものを探しだし入力してみよう。

このサイトにアップロードするのが怖かったとしても、シークレットキーだけでは不正アクセスできないぞ。

アカウントの編集

「歯車マーク(設定)」→「External Accounts(外部から入れたアカウント)」から編集したいアカウント情報をクリック。

アカウントの編集

あとはアカウントの追加と同じようにロゴ・桁数・名前を変更しよう。

バックアップ・同期する

「歯車マーク(設定)」の下にならどこにでもある「Backups & Sync(バックアップと同期)」をクリック。

バックアップと同期へ進む

スマホと同じように「バックアップと同期するなら、バックアップパスワードを入力して暗号化しよう」と言われるので、「スマホで設定したバックアップパスワード」を入力。

バックアップパスワードを入力する

設定が完了すると、「External Accounts(外部から入れたアカウント)」の下の方に「Backups Password(バックアップパスワード)」を変更できる表示が出現し、同期完了マークの「緑のモクモク」も表示される。

下の方にバックアップパスワードチェンジが表示される

スマホの方に「Your backups password has changed(あなたのパスワードは変更されました)」という表示も出現し、変更したつもりじゃないという疑問を抱えたまま仕方なくスマホで入力していこう。

バックアップパスワードをスマホでスムーズに入力させる手段がないなら、QRコード作成 【無料】のページをプライベートブラウジングで開き、パスワードをQRにしてスマホで読みとろう。
私の環境だけかもしれないが、スマホで追加したアカウント情報だけ同期され、パソコンで追加したものをスマホでみても同期されない現象に陥っている。基本はスマホでスキャンする使い方なら問題はない。
またまた問題が発生し、「緑のモクモク」になっていないとスマホの方に同期されず、緑のモクモク状態にはどうやってもならない。
スポンサーリンク

このChromeアプリの不満まとめ

  1. ショートカットがない
  2. マスターパスワード → アカウント → トークンコピー → 貼り付けの4ステップが長い
  3. ロックのかかる時間を選べない
  4. 設定からトークンに戻る方法がわかりづらい
  5. アカウントの編集から戻る方法がわかりづらい
  6. ウィンドウのサイズを変えられない
  7. 並び替えできない
  8. マスターパスワード削除方法がアプリからできない
  9. そもそもAuthyの同期システムがおかしいような?

上記デメリットを吹き飛ばすバックアップとしての使い方がなければ、絶対に使っていない。

スポンサーリンク

Authy端末の盗難・紛失時の対応

「歯車マーク(設定)」の「Devices(端末)」タブにある紛失した端末を削除する。

現在接続中のChromeアプリは表示されないぞ。また、端末の名前は「スマホで長押しして変更する」しかないようだ。
端末を削除

これで新しい端末を登録した際に下の画像の「Chromeアプリ版」が表示され、紛失した端末のほうでは表示されなくなるはずだ。

おそらく、これをしないと「紛失した端末に下の表示が出てしまう」のではないだろうか。

許可をする
②から進んでね
OKとタイプ

公式サイトAuthyアカウント復元(英語)

あとは、端末のロック・データ消去を覚えておけばリスクは軽減されるだろう。

Androidの記事で申し訳ないが、「友達の個人情報を所持していることを自覚する」などセキュリティ意識は向上するので、iPhoneユーザーでもどうぞ。

Googleアカウントの2段階認証設定のついでに、バックアップコードの取得も紹介している。

コメント

  1. 電悩過敏症 より:

    今朝早々にお答えいただきありがとうございます。
    セキュリティキーですか……とても魅力的ですね。
    別に「電磁波過敏症」っていうわけではないです。スマホ便利そうですけどね。
    ご丁寧なアドバイス、ありがとうございます。

    • ぷっぷ より:

      使ってないだけかーい! オラァ( っ・∀・)≡⊃ ゚∀゚)・∵.

      私もスマホをほとんど使ってないのであまりうまくは言えませんが、人と連絡を取ることができるのは最大の魅力です(適当)
      流石にiPhoneとAndroid両方を持っていないと回答出来ない問題があるので、今年新発売のには手をだしそうですけどね!

      • Raymond・Debian より:

        そういえばですが、iPhoneと言ったら少し前に発売された「iPhoneSE2」めっちゃ安くておすすめですよ!

        それか、少し待って「iPhone12」の下位バージョンも安いとどこかで言ってたので。買う時はこのどっちかがお勧めですよ。

        • ぷっぷ より:

          もちろん知ってるけど、別に今すぐ欲しいというわけでもないので9月、または10月まで待てるので今は12狙いでーす∩(・∀・∩
          でも、もし12に不満かつ11にも不満だったらSE2でノッチなしのやりすぎ映えを狙うかも。

  2. 電悩過敏症 より:

    ぷっぷさんこんにちは、電悩過敏症です。やりすぎくらいが丁度いいセキュリティ情報をありがとうございます。

    デスクトップ環境でのAuthyの利用で「セキュリティは低下」するとのことですが、SMSを用いた二段階認証とどちらが高リスクですか?私はスマホを持っていないのでアプリが入れられません。

    やはり単一デバイスで二段階認証を完結するより、脆弱性があっても別デバイスでの認証を優先するべきでしょうか?

    • ぷっぷ より:

      最近書いたPayPalのコメントにちょうど答えが書いてあるので一応それを見てください!
      ようは、確かですけどSMSのぜい弱性はしょぼいというか気にする必要ある?的なものだったはずです(何かは忘れた)。
      となると、「デスクトップですべて完結、デスクトップが盗まれたら解散」より、「SMSで二段階認証!デスクトップが盗まれても、同時にスマホが盗まれていなければセーフ!」の方が明確に有利ですね∩(・∀・∩
      「電悩過敏症」さんは本当に電悩過敏症だと思うと、スマホはキツいのかな?
      となると、セキュリティキーと相性良さそうですね。
      使えるサービスはろくにありませんが(日本とか特に)、通信するようなものじゃないので登録するサービス次第では役に立つかも(゚~゚o)
      参考ワンタイムパスワードトークンYubiKey |(株)ソフト技研(日本代理店で、amazonでしか買えません!)
      デスクトップ自体にも設定できるはず。
      参考Windows Hello またはセキュリティ キーで Microsoft アカウントにサインインする – Windows Help
      Windows自体を強固にするのが理想的かな?
      そうなるとBitLocker(Pro版のみ)かVeraCrypt(セキュリティキー使えなさそう)で暗号化したいけど、OSの暗号化は私も未知の領域なので、次のレベルアップ先として認識しておいてください。

  3. ねりもの より:

    こちらのサイトを拝見してAuthyを導入しました。大変助かっています。
    AuthyのChrome拡張、私の場合はなぜかAndroidから登録したものも同期されなくて困ってました。
    Chromeじゃない普通のソフトないのかなぁと思って探したらありました…。
    https://authy.com/
    公式の、ずーっと下のほうに「DOWNLOAD」というリストがあるのですが、そこに
    ・IOS
    ・ANDROID
    ・CHROME
    ・MACOS
    ・WIN32
    ・WIN64
    と並んでまして、MacまたはWin使いならChrome拡張よりそちらのアプリケーションのほうがいいかもですね。
    私はWin64のほう導入してみましたが、こちらはしっかり同期されました。
    さようならChrome拡張……。

    • ぷっぷ より:

      えーー!(゚Д゚;)
      あったの知らなかったので、冒頭に存在を追記しておきました……。
      当時から使えば使うほど不満続出で困惑しており、ちょっと無駄な記事になっちゃった感が凄い(´ε`;)
      存在を知らせてくれてありがとうございます!