【S】一生使う前提の2段階認証アプリ「Authy」の使い方

英語は最初だけのAuthyセキュリティソフト・アプリ
この記事は約10分で読めます。

Authy(オーシー)ならクラウドのおかげで自動バックアップになり、機種変更も同期するだけで楽チンだ。

「Google認証システム」は機種変更が楽になったとはいえ紛失時が面倒だし、「IIJ SmartKey」は1つずつしかエクスポート(書き出し)できないため実質利便性No.1の2段階認証アプリだろう。

それでは、Authyのクラウド管理が安全・便利だということと、Authyの使いやすさを説明していく。

もうずっとAuthyのままでいい。

スポンサーリンク

Authyのメリット

  • 複数の端末で使える
  • 最低限のバックアップは確保できる
  • 機種変更は同期するだけ
  • 公式ロゴ(アイコン)で見分けが簡単
  • Authyでしか2段階認証を使えないサービスがある(約1%でレア:私の環境だとビジネス関係の2件くらいのため、ほとんどの人には関係ない可能性あり)

となっており、利便性は2段階認証アプリ最強だが、「英語しか対応していない」せいか避けられることも多いようだ。

ハッキリいうとバックアップの面倒さより英語のまま使うほうがマシ。

追記:2020年8月21日

最近ではMicrosoft Authenticatorやオープンソースアプリ(中身のプログラムを確認でき、不正がしにくい)もオススメだが、やはりたまにあるAuthyでしか使えないサービス用の関係でやりすぎセキュリティではAuthy最強としている(いきなりAuthy縛りをされても困る)。

ぷっぷ
ぷっぷ

画像とか記事で「Authy最強!」ってだいぶ前から言っちゃってて、それを変更するのが面倒だからだよ∩(・∀・∩

デメリット

  • 英語
  • 電話番号(050不可)かSMS番号が必要
  • オープンソースではない

「データSIM」のみは不可のため、SMS番号は入手しておこう。

アプリの英語は慣れると問題ないが、やはり英語の抵抗力がない方からすると非常にストレスだし、何か不具合になった際のサポートも英語で送信しなければならない。

この記事をブックマークしておけば翻訳した画像で判断することができるので、基本的に大丈夫だったりする。

データSIMやどうしても英語が嫌な方は、日本語でシンプルに使える「Google認証システム」にしよう。

また、オープンソース(不正がしにくい)ではないのでプログラムの中身を確認できないが、2段階認証コードをAuthyに利用されたとしても、Authyはパスワードを知らないため何もできない=基本無視でいい。

まったく問題のないクラウド管理

まったくは言い過ぎかもしれないが、2段階認証のコードとアカウント情報を「同時に見られなければ」問題はない。

Authyに侵入されただけでは6桁のコードは役に立たず、別にアカウント情報が必要だからだ。

もちろんアカウント情報がすでに流出していたらアウトだが、「どちらかが流出している状態」は異常であり、それ以前の問題である。

私の中では紛失・盗難から流出するものだと思っているので、流出経路をある程度知って防御力を高めよう。

Authyのセキュリティはこれで十分なのだ。

スポンサーリンク

ダウンロード・インストール

公式サイトのDownload – Authyページにアクセスし、ダウンロードしてこよう。

この記事ではAndroid版で説明していく。

Authyダウンロード

AuthyのダウンロードページQRコード
気が利くQRコード

インストールが終わったらそのまま開こう。

アカウント作成

「Code」をタップして「81のJapan」を探し、電話番号・SMS番号を入力する。

「番号最初の0」は抜かさなくていい(そのまま入れるということ)。

アカウントセットアップ
Japanを探す

今度は「Eメール入力項目」が出現するので入力。

メールアドレスを入力

すると、音声認証かSMS認証どちらかを選択できる表示がでてくるが、英語を聞き取れないのでSMSにしよう。

SMSを選択

端末に入っているショートメッセージサービスに6桁のコードが届き、そのコードを入力。

入力しなくても自動でコードを読み取って次の画面が出現することもある。

そのまま読み進めよう。

6桁のコードを入力
スポンサーリンク

使い方

英語に慣れるしかないが操作自体はシンプルで、だいたい4タップで完結する。

バックアップパスワード設定

中央の「+」をタップ。

中央の+をタップ

初回なら「SECURE BACKUPS(安全なバックアップ)」表示がでるので、パスワードを設定していこう。

パスワードを設定すると暗号化され、セキュリティが向上する。やらないと同期されないのでしておこう。
バックアップパスワードを設定

パスワードに不満があるなら、せめて底上げしておこう。

すると、QR読み取り選択が出現するので次へ進む。

QRコード読み取り(スキャン)

2段階認証のアカウントを追加できる表示がでているので、「SCAN QR CODE(スキャンQRコード)」をタップしQRコードを読み込もう。

でていなければ右上の「︙」をタップし、「Add Account(アカウント追加)」を選択。

今後はこの動作で追加していく。

今後は右上のアカウント追加から進む
スキャンを選択

読み取るとロゴ(アイコン)と名前を付けられる。

「複数同じアカウントを持っていても判別できる名前」を付けよう。

アカウントの名前を付ける
アカウントの名前にメールアドレスやユーザーIDなどを書いてしまうと、万が一Authyに侵入された際に残りはパスワードだけになってしまうので、なるべくアカウント名でわかるようにしよう。

初回やキリの良い登録数になると「シェアしてください表示」がでる。

シェアは無視

シークレットキー読み取り(手動入力)

QRコードで読み取りできるならこの方法は必要ないので、次のロゴ・名前・デザイン変更と削除まで読み飛ばそう。

手動入力が面倒ならAndroid専用Google レンズ、iOSはSafariに画面のQRコードを読み取る機能があるのでオススメ。

参考どうやってアクセスする? iPhoneに表示中のQRコードをカメラで撮らずに読み取るワザ | できるネット

Google レンズ

Google レンズ

Google LLC無料posted withアプリーチ

Google Playストア Googleレンズ
気が利くQRコード

それ以外は「︙」をタップして「Add Account(アカウント追加)」→ 2段階認証のアカウントを追加する表示の下にある「ENTER KEY MANUALLY(手動でキー入力)」をタップ。

アカウント追加に進む
MANUALをタップ

「このような文字列だよ」と例を表示されたら、コピーしたシークレットキーを貼り付けよう。

シークレットキーのほとんどはQRコードの近くに「非常に長い文字列」が表示されているか、「Secret Key(シークレットキー)」・「別の方法で設定する」的な文言の場所にあるはずだ。

シークレットキーを入力

あとはスキャンと同じようにACCOUNT NAME(サービス名)に「複数同じアカウントを持っていても判別できる名前」を付けよう。

アカウントの名前を付ける

「長押し」するとロゴ・名前変更ができる「ペンマーク」と、削除の「ゴミ箱」が出現する。

後は変更・削除するだけだ。

長押しして編集と削除を出す

削除しても48時間はAuthyに残り、「Settings(設定)」→「ACCOUNTS(アカウント)」→「復元したい項目」→「Restore(復元)」をタップして復元できる。

設定に進む
復元したいものを選択
復元して完了

デザインの変更は「︙」の「隣にあるマーク」をタップすると、タイル型からリスト型に変更可能。

タイル型

リスト型も同じように「長押し」すると、ロゴ・名前変更・削除ができる。

リスト型
リスト型のトークン表示
スポンサーリンク

セキュリティ設定

4タップくらいで設定できるので、とりあえずやっておこう。

アプリケーションロック

4桁のPINかiPhoneならTouch IDで指紋認証を設定でき、iPhoneではないのでPINの説明をするが、場所は同じはずだ。

「Settings(設定)」→「MY ACCOUNT(マイアカウント)」の「App Protection(アプリの保護)」をタップして、電話番号や誕生日を避けたスマホロックとは関連性のない4桁を付けよう。

設定に進む
アプリの保護をタップ
4桁のPINを設定

設定が終わると「設定解除と今のPINを変更する画面」になり、今は用がないので無視。

PINの強化方法も以下の記事を参考にして強化されたし。

複数端末許可・削除

端末をこれ以上登録させたくなかったり不要になった端末は削除することができるが、「Allow multi-device(マルチデバイスを許可)」をOFFにしたら18時間くらいONにできなかった。

「Settings(設定)」→「DEVICES(端末)」の「Allow multi-device(マルチデバイスを許可)」にこの項目があり、基本的にはONのままでいい。

設定に進む
DEVICE項目
セキュリティは向上しているが、設定した端末を紛失して新しい端末を登録すると、この設定が原因で登録できなくなる諸刃の剣だ。そもそも端末登録が勝手に来ても拒否できるので、無効にする必要はない。

ちなみに、複数端末を無効化した状態で登録すると、以下のようなエラーがでて登録不可。

複数端末を許可していない状態でタップ
エラーが出る

一応設定を解除できる手段が用意されているが、電話番号・SMS番号が必要で、復帰に24~96時間かかることを覚えておこう。

そうするとアプリの設定がすべて解除され、最初からアプリを使える状態になるらしい。

当然、バックアップをしていなければ何も残らず絶望する。

公式サイトAuthyアカウント復元(英語)

次に、不要な端末を確認しよう。

「This Device(この端末)」は接続中の端末なので、「Your Devices(他のあなたの端末)」をタップ。

「Your」の方だぞ。

長押しすると端末の名前を変更できる。
DEVICE項目
不要な端末を削除

これで不要な端末を削除できたはずだ。

スポンサーリンク

複数端末で使用する:機種変更や紛失用

同じように別の端末でアプリをインストールし、最初に使用していた電話番号(SMS番号)を入力すると、PHONE CALL(音声:紛失時向け)・SMS(紛失時向け)・「USE EXISTING DEVICE(既存のデバイスを使用する)」が出現するのでタップ。

アカウントセットアップ
日本のCodeは81 番号の1文字目は外す

USE EXISTING DEVICEをタップ
今までのスマホがないなら音声かSMS

USE EXISTING DEVICE(既存のデバイスを使用する)の場合、「元々使用していた端末」のステータスバーに項目が出現(出ないかも)、タップすると「新しい端末を許可しますか?」と聞いてくるので、「ACCEPT(受諾)」を選択して許可 →「OK」(小文字でも可)と入力してOK!

ステータスバーの通知をタップ
許可をする
OKとタイプ

上記は旧端末を手元に持っている場合で、SMSだとACCEPT(許可)・DENY(拒否)の表示はされるが内容はちょっと違う。許可せずスキップしても2段階認証コードは閲覧できず同期はされていたため、バックアップパスワードを入力すれば2段階認証コードが確認できるようになる。

すると最後に「Success(成功)」表示がでてくるので、OKを押すと別の端末でも同じワンタイムパスワードを使えるようになる。

成功!

ここからは「バックアップパスワードを設定していたとき」の画面になる。

以下のようにワンタイムパスワードがきちんと暗号化された状態だ。

ちなみに、電話番号やメールアドレスは暗号化されず丸見え。

何でもいいので項目をタップすると、「バックアップパスワードで設定したパスワードを入力して」と言われるので、入力するとすべての暗号化が解除され正常に使えるようになる。

暗号化アイコンを適当にタップ
バックアップパスワードを入力して解除する

紛失した際は「どうにかして携帯会社から電話番号を受信できる端末を手に入れる必要」がある。時間はかかるが詰んではいないだろう。

スポンサーリンク

セキュリティと注意力を高める

2段階認証設定で「バックアップコードやシークレットキーの保存場所」に迷っているなら、メモも暗号化されるパスワード管理ソフトを導入しよう。もちろん無料だ。

当サイトはパスワード管理ソフトの紹介に自信を持っているので、是非一読されたし。

クラウドストレージや端末丸ごと暗号化はこちらがオススメ。

そもそも紛失したら終わりなので、紛失時の対応力も向上させよう。

【緊急】なくしたAndroidスマホを端末を探すアプリかPCで探す使い方
あなたのスマホでも、友達と仕事の情報を所持していることを自覚し、スマホを捨てる覚悟を持とう。ブラウザ版もあるので、アプリはなくてもOK!

コメント

  1. 匿名 より:

    パスワードマネージャーはオープンソースにこだわっておられますが、2FAアプリはオープンソースで無くても良いのですか?

    • ぷっぷぷっぷ より:

      2段階認証の詳しい仕様はわかりませんが、2段階認証のコードだけ流出したところで何の問題にもならないため、重要度は低いです(*´ω`*)
      基本ユーザー名・パスワードはセット流出しますが、2段階認証は時間経過で変わる&ネット上でアカウント情報を抜き取られても2段階認証コードはスマホアプリに存在しているため、盗めないからです。
      もちろんアプリに細工されて謎通信をされてたらアウトですが、こればっかりはどうしようもないので割愛!
      一応、bitwardenの有料プランにある2段階認証コード生成機能はオープンソースってことになるかも?(但しパソコンだけで完結してしまうので若干リスク向上)
      もちろん機種変更が楽なオープンソースがあれば紹介させていただきますので、ご存知でしたら教えていただけると超うれしい! まだ生まれてないかもだけど(゚~゚o)
      ちなみに、Googleはいわずもがな、authy(twilio)はKDDIと通信事業でなんかやってて、・IIJSmartkeyはビックカメラのSimカードで有名だったり。
      オープンソースがダメだった場合は、私は企業のレベルや実績を参考にしています。

  2. 匿名 より:

    スマートフォンとGoogle、両方の呪縛から逃れようと代わりのAuthenticatorを探していてこちらのAuthyの記事をみつけました。早速使ってみて、最高です。

    • ぷっぷぷっぷ より:

      最高いただきました!
      お役に立てていただきうれしいです ・ω・

  3. 匿名 より:

    Authyの退会方法を教えていただきたいです。
    登録したアカウントを全て削除したあとアプリをアンインストールすればよいのでしょうか。
    それとも何か特別な操作が必要なのでしょうか。
    osはandroidです。

    • ぷっぷぷっぷ より:

      公式の一番下に「DELETE ACCOUNT(アカウントの削除)」項目があるので、そちらを確認してください!
      アプリからはできず、公式に「削除してくださーい!」とリクエストをし、30日後に削除されるようです。
      参考Authy DELETE ACCOUNT
      Googleページ翻訳が使えないようなので流れを言っておきますと、
      「Authyに登録されている2段階認証を削除しても、サービス側の2段階認証を止めていないと完全に無効にしたとは言えません」
      「Authyに登録した2段階認証を消すと、2段階認証を解除していないサービスへのアクセスはできなくなります」
      という注意書きがあり、Authyに登録した国籍と電話番号かSMS番号を入力すれば削除申請が完了のはずです。
      これ以上先は私が怖いので触っておりません( Ꙭ)
      一応わかりづらいと思いますので、翻訳は以下のサービスを使うといいです。

  4. 匿名 より:

    お世話になります!最近よく拝見させていただいております!
    見当違いな質問であればすみません。

    bitwardenの保存されるクラウドは、ググるとマイクロソフトのクラウドとでてきたので安心しておりましたが

    Authyが保存されるクラウドは安全なのでしょうか。ネットでググってもでてきませんでした。

    ご教示お願いいたします。

    • ぷっぷぷっぷ より:

      (゚~゚o)ウゥーン 書いていないのでわからないですね……
      実際のところどうでもいいので無視しており、その理由を書いてごまかします(゚´Д`゚)゚。
      まず、バックアップは無効化することができ、その場合は端末にしか保存されません。これは他のアプリもそんな感じですね。
      次にバックアップをクラウドにアップする場合暗号化され、その暗号化されたデータがAuthyのクラウドに滞在し、使う時に端末で復号化されるタイプのようです(これってエンドツーエンドじゃ?書いてない……)。
      参考How Authy 2FA Backups Work
      そして本命が、「Authyのクラウドが襲われてもアカウント情報がない状態のため、6桁ワンタイムパスワードは何の役にもたたない」です。
      アカウント情報とワンタイムパスワードは通常一緒に保管されていないため、どちらかが盗まれても片方が仕事をするというシステムです。
      しかも、その間に「Authyのクラウドが襲われたー」というニュースが先に飛び込んでくると思いますし、Authyのクラウドを襲った人物は世界の誰かもわからないAuthyに登録されたワンタイムパスワードと一致したアカウントを探すためかなりの猶予があるでしょう。
      というわけで現状は無視で良いかと思いますが、もし不安でしたらGoogle Authenticatorをおすすめします。
      まだAndroidさえ実装されていませんし、iOS版もまだ先のようですがIIJの上位互換になってQRコードを使って一発で乗り換えができるようになる模様です。
      参考2段階認証アプリ「Google 認証システム」でようやくまとめて移行可能に

      • 匿名 より:

        ぷっぷさん お疲れ様です!

        いろいろ教えていただきありがとうございます!

        IT?に詳しくなく、難しいことはわかりませんが、Authyは、クラウドに暗号され保存されるため、どこのクラウドかはあまり問題ないって感じはわかりました。

        Google Authenticatorも、古い端末が壊れたり、下取りに出した場合どうするんだろうと思います。その点、Authyは、バックアップパスワードがあれば、その問題は、回避できるのかなと思います。

        ワンタイムパスワードも、Authy、一本にしようと試みましたが、銀行系のワンタイムはそれ専用アプリが必要で、一本化には、なりませんでした。。。。

        マイクロソフトのワンタイムも、マイクロソフトのアカウント専用機能、携帯を使用してパスワードなしでサインインできる機能?のがあるようですし、色々ワンタイムアプリを使い分ける必要がありそうです。。。

        ●また、返信のなかで、『これってエンドツーエンドじゃ?』とはどのようなことでしょうか?あまり良くないってことでしょうか?
        よかったらおしえてください。

        • ぷっぷぷっぷ より:

          ワンタイムパスワードも、Authy、一本にしようと試みましたが、銀行系のワンタイムはそれ専用アプリが必要で、一本化には、なりませんでした。。。。

          なーんか日本の銀行って独自のアプリでセキュリティを高める古ーい手法が多くて、それ本当にやめてほしいですよね(´ε`;)
          年に数回しか使わない機能のためにアプリダウンロードって、何もユーザーのこと考えてないと思う(酷評)。

          マイクロソフトのワンタイムも、マイクロソフトのアカウント専用機能、携帯を使用してパスワードなしでサインインできる機能?のがあるようですし、色々ワンタイムアプリを使い分ける必要がありそうです。。。

          ちょっとよくわかりませんが、私はマイクロソフトのアカウントも普通の2段階認証アプリで使用しています。
          確かマイクロソフト専用のアプリがあって、そのまま進めていくとそれを推奨されて「それしか使えないのかな?」と錯覚するけど、実は使えるはずです∩(・∀・∩

          また、返信のなかで、『これってエンドツーエンドじゃ?』とはどのようなことでしょうか?あまり良くないってことでしょうか?
          よかったらおしえてください。

          この場合のEnd to Endとは、端末で暗号化されてAuthyのクラウドに2段階認証情報が移動 → Authyからは端末で暗号化した時の鍵がないので復号化出来ず、Authy関係者ですら閲覧できない(会社の信頼度を無視できる)。
          というような仕様のことをエンドツーエンドといいます!
          仮にエンドツーエンドじゃなかった場合でもワンタイムパスワードだけじゃ何もできないので、そんなに重要ではありませんが、ないよりは遥かにいいです( Ꙭ)

  5. jane より:

    現在Google Authenticatorを使用しています。Authyに移行しようと思いましたが、アカウントを作らなければならない点と、クラウドに情報がアップロードされるという点が気になり移行に踏み切れません。
    SMS番号がアカウントになるという事は、そこから本人特定がされそうで不安を感じています。

    • ぷっぷぷっぷ より:

      電話番号とメールアドレスのセットで本人が特定されるとはどういった状態を想定するかによるかもしれません。
      電話番号だけで個人の特定は電話会社くらいしか知らないと思いますし、メールアドレスもその会社が本人かどうか知っているだけで、Authy側からしたらただの識別にしか使えないと思います(゚~゚o)
      電話番号とメールアドレス両方を知っているのは家族や友達だと思いますが、もしAuthyにその情報を入れられてもバックアップパスワードがあるので、どのサービスに登録しているかなども同期されないためわかりません。
      実際のところ電話番号とメールアドレスはほぼ公開情報で家族と友達が知っていることを考えると、例えこれが流出しても部外者が特定までは行けないとも思います(もし特定できているのであれば、スマホ紛失時の電話帳データなどでも被害がかなりでているはず)。
      また、クラウドにアップされる2段階認証情報は暗号化されていなくても比較的どうでもいいという話(ワンタイムパスワードでは何もできないため)は、ちょうど最近にあった匿名さんとのコメントをご覧ください∩(・∀・∩
      なので、ちょっと考えすぎだと思います。
      もしまだ不安であれば、特定されるケースを言ってもらえれば対応できます!

      • jane より:

        やっぱり考えすぎですか・・・いや、確かに「お前は誰と戦っているんだ?」とか言われる事も多々あります・・・・
        私は通話用1台、データ通信用2台の端末(スマホとタブレット)を持っていて、使用しようとしている電話番号はデータ通信用端末の物で、他人へは公開していないです。二段階認証で使った事がある程度です。

        特定されるケースは、電話会社がお漏らしするか、何らかの手段で誰かがデータ通信用端末の番号を知った時だけしか思いつかないです。

        • ぷっぷぷっぷ より:

          私も「お前は誰と戦っているんだ?」的なこと言われるかも……
          これからその人が成功するかもしれないのに、弱者の段階で保険をかけるのは当然だと思いつつ、その場しのぎで「確かに!」とか言ってますけども( Ꙭ)
          ※信号無視で例えるなら、「弱者の時点で信号無視をしない」を徹底することと似ているかも。
          その話はこれくらいにして、

          特定されるケースは、電話会社がお漏らしするか、何らかの手段で誰かがデータ通信用端末の番号を知った時だけしか思いつかないです。

          世の中に電話番号を教えただけで、そのサービスに登録されているアカウント情報を教えてくれる口の軽いサービスがあるとは思えないんですよね。
          前回のコメントにも書いたとおり、それが実際にあった場合はもうちょっと騒ぎになっていてもおかしくないと思いますし、割と思いつく手法なので長い期間耳に入ってきていないのもその可能性を引き上げています。
          また、電話会社が流出させた場合は個人情報がバレるだけで、「ネットで何をやったかはバレない(ここ重要)」んですよね。
          「個人名・住所がバレて売買されるー」までは可能性としてありますが、隣人と親しくなくても個人名・住所・さらに顔まで知っていることを考えると、実際はその情報がほとんどどうでもいいと感じるはずです。

          私で例えるなら、個人情報がどこかのサービスで流出しようが、それで「やりすぎセキュリティ運営者」として紐付けされない限りは一般人のためどうでもいいということ。また、いざ一般人情報が流出した際に、フットワークを軽くするため速攻引っ越しできるお金持ちを計画しております(個人名はリセット不可)。

          というわけで、Authyに登録した電話番号とメールアドレスが流出しても、それだけでは何もできない、何かされるとしたら名簿業者が迷惑電話やスパムを仕掛けてくる程度だと私は想定しています。
          ※すべて妄想であり、根拠がないのであしからず!
          何を隠そう私も考えすぎの一味でーす∩(・∀・∩

          • jane より:

            Authyに登録する際に使用するメールアドレスは今ある物とは別に用意した方が良いでしょうか?
            クラウドサービスやSNSなど匿名で登録して使うメールアドレスを使おうと思ったのですが、どこかで足が着いたら嫌だなあと思いまして。

            • ぷっぷぷっぷ より:

              どこまで許容するかによるかも?(゚~゚o)ウゥーン
              例えば

              • Twitterで暴言を吐きまくっているアカウントのメアド
              • クラウドのメアド
              • Authyのメアド

              これらすべてのメアドが一緒かつAuthyかクラウドで流出したと仮定して、Twitterの「メールアドレスの照合と通知を許可する」の状態にしていた場合は暴言アカウントがバレる可能性はあります。
              参考【身バレ抹殺】Twitterのプライバシーとセキュリティ設定
              なので、メールアドレスで照合される可能性のあるものは大体SNSくらいだと思うので、そこらへんの設定を見直せばそういったアカウントが回り回ってバレる可能性はないとは思います。
              そして、「それを考えるのが面倒だなー」って思うのであれば、新しいメールアドレスを作成した方が早いです∩(・∀・∩
              一応、上記の例「暴言アカウント」のようなものがないのであれば、特に流出してもAuthyに侵入されるわけじゃないし、クラウドサービスも侵入されるわけでもないので「問題か?」と言われると「うーん気にしなくていいかな」という感じになります。
              どのサービスもメールアドレス・電話番号が流出しても、「そこにサービスが情報を送信するため自分しか確認できない」という前提のもとにセキュリティが成り立っているようです。
              スマホって落としたら本当にヤバーイ( Ꙭ)

  6. vegam57 より:

    最近のスマホ決済口座と銀行口座の問題で、2段階認証を勉強し直している者です。
    現在、いろいろなサービスでメールで2段階認証を使っていますが、要素を変えようと考えています。
    恥ずかしながらブログ記事にしています。
    https://vegam57.livedoor.blog/archives/7127412.html

    この記事参考になりました。
    基本的な事ですが、一点ご教示賜りたくコメントで質問させていただきます。

    こういう各認証アプリが対応しているサービスが一覧比較になっているようなページをご存じないでしょうか?
    各認証アプリの当該ページでも結構です。検索下手でビンゴがでません。
    私が使っているサービスがカバーされているものが多い認証アプリを使いたいと思っています。

    • ぷっぷぷっぷ より:

      ちょっと話を理解できていない可能性がありますが、Authyが一番対応されていて、「たまにSMSしか対応していないサービスはSMSで」という使い方になります(残念ながら100%じゃない)。
      割合でいうと

      • 92%Authy
      • 6%SMS
      • 1%自社アプリ。または物理トークン(銀行系に多い・無駄アプリ・やめてほしい・迷惑・なぜGoogleAuthenticatorではないのか・いい加減にしてほしい)
      • 1%メール認証

      かな?SMSはセキュリティ的問題ではなく電話番号変更時がとにかくきついので、これから設定する場合はパスワード管理ソフトの検索に引っかかるよう、「SMS認証を使ったサービスには電話番号をメモ欄に入力」しておきましょう。
      電話番号変更時、検索をかけてそのサービスの電話番号を変えるだけですみます。
      メール認証はあるだけマシですし無駄アプリ不要なので許しますが、銀行系無駄アプリはやりすぎセキュリティで許されません。

      とりあえず、二段階認証アプリで一番有名なのがGoogleAuthenticator(認証システム)で、こちらはAuthenticatorやMicrosoft、というか基本的な二段階認証で売り出しているアプリではGoogleAuthenticatorとしか書かれていなくても使えるため、Authyですべて対応可能。
      また、GoogleAuthenticatorは使えないのにAuthyしか使えないサービスが全体の1%未満でたまーにあります(100%海外のみ)。
      おそらく海外でAuthyが流行ったときの名残(多分先駆者ボーナス)でAuthyしか対応していないものがあるといった感じ。
      なので、やりすぎセキュリティではOSSの二段階認証やMicrosoftAuthenticatorは勧めず、今後もAuthyを推奨させていく感じです∩(・∀・∩

      • vegam57 より:

        ご丁寧な情報、ありがとうございます。
        大変参考になりました。
        今後とも益々のやりすぎを陰ながら応援させていただきます。

        • ぷっぷぷっぷ より:

          更新スピードひどすぎなので、ほどほどセキュリティにしようかな(゚~゚o)

  7. ねとふり より:

    ぷっぷ様へ

    丁寧・簡潔・理解しやすい・きめの細かい情報提供ありがとうございます。

    authyについて、質問があります。よろしくお願いいたします。

    【前提条件】
    いまiPhoneを使用しています。その端末以外に使用している端末は無い状態です。
    パスワード管理アプリは、bitwardenを使用予定です。
    また、2段階認証アプリは、authyを使用予定です。

    質問①
    authyに設定するバックアップパスワードは、任意に考えて入力するよりも、bitwarden等のパスワード生成アプリを利用した強固なパスワードにすると、より良いですか?
    そもそも、authyのバックアップパスワードに関して、bitwardenを活用したパスワード生成は可能でしょうか?

    質問②
    上記により、bitwarden に、authyのバックアップパスワードが保存されるため、スマホを1台を紛失した時に、復旧が楽になりますか?
    具体的には、新しいiPhoneを購入→bitwardenをダウンロードして同期→authyをダウンロードして同期(バックアップパスワードは、bitwardenより入力)という流れで復旧可能ですか?

    質問③
    そもそも論なんですが、iPhoneの端末1台しか無いのに、そして更に、その端末を紛失してしまった場合に。
    新しく買ったiPhoneで、上記2段階認証アプリを導入して端末追加設定しようとすると、その際に紛失した旧端末iPhoneに、「新しい端末を追加しますか?」と表示されるはずですが、その旧端末をタップすることができないので、上記質問②が無理なのでは無いですか?
    つまり質問③は、質問②の前段階の疑問であり、いびつな質問になっておりますが、ご容赦下さいませ。

    どうか、上記質問への回答をよろしくお願いいたします。
    m(_ _)m

    • ぷっぷぷっぷ より:

      丁寧・簡潔・理解しやすい・きめの細かい情報提供ありがとうございます。

      親切がヌケテイマスヨ( Ꙭ)

      質問①
      authyに設定するバックアップパスワードは、任意に考えて入力するよりも、bitwarden等のパスワード生成アプリを利用した強固なパスワードにすると、より良いですか?
      そもそも、authyのバックアップパスワードに関して、bitwardenを活用したパスワード生成は可能でしょうか?

      あー、記事中にパスワード自作を促していたんでした(´ε`;) ※詰む恐れ回避用
      詰む恐れが回避できるのであれば、Bitwardenに生成させたものをお使いください(単純に簡単だから)。
      例としてまず、BitwardenでAuthy用情報を適当に作成、その時生成されたパスワードをバックアップパスワードに設定、Authyを設定しているうちに何か書くことがあればそのメモ欄に書くという流れです。

      質問②
      上記により、bitwarden に、authyのバックアップパスワードが保存されるため、スマホを1台を紛失した時に、復旧が楽になりますか?

      楽にはなりますが、Bitwardenにログインする際、2段階認証をBitwardenにかけちゃうとAuthyがないので詰みます。
      なので、バックアップパスワードは比較的覚えておくもの、もしくはUSBメモリか何かオフラインで手元にBitwardenの2段階認証リカバリーコードのメモや、Bitwardenのバックアップそのものを残しておくといいです。
      最近Bitwardenのバックアップは暗号化したまま出るようになりましたし、ちょっと楽になったかも。
      ※リカバリーコードのメモにリカバリーコード以外の情報を書くことは禁止。

      新しいiPhoneを購入→bitwardenをダウンロードして同期→authyをダウンロードして同期(バックアップパスワードは、bitwardenより入力)という流れで復旧可能ですか?

      可能です∩(・∀・∩
      くれぐれも旧端末を新端末購入時すぐに、廃棄へまわさないように!
      スマホ乗り換えた時に「この記事の方法古いけどできるかなー」って思ったら、ちゃんとできました!
      昔の私えらい

      質問③
      そもそも論なんですが、iPhoneの端末1台しか無いのに、そして更に、その端末を紛失してしまった場合に。
      新しく買ったiPhoneで、上記2段階認証アプリを導入して端末追加設定しようとすると、その際に紛失した旧端末iPhoneに、「新しい端末を追加しますか?」と表示されるはずですが、その旧端末をタップすることができないので、上記質問②が無理なのでは無いですか?
      つまり質問③は、質問②の前段階の疑問であり、いびつな質問になっておりますが、ご容赦下さいませ。

      なるほど、ちょっと明日試してみます。
      明日のぷっぷメモ(APM):AndroidにAuthyインストール → iPhone電源Off → AndroidのAuthyに今までの2段階認証を呼び起こせるか

  8. ねとふり より:

    ぷっぷさまへ

    ご親切に、ご回答ありがとうございます!!
    本当に感謝です!

    ご回答頂いた内容に関して、僕がちゃんと理解できているか、重ねての確認があります。
    よろしくお願いします。

    質問①
    bitwardenでパスワードを任意作成して、authyのバックアップパスワードを作成可能であると理解できました。ありがとうございます。

    【authyを設定しているうちに、何か書くことがあれば、そのメモ欄に書く】
    →そのメモ欄とは、bitwardenの中の暗号化できる保管庫みたいな中に保存するという意味ですか?

    質問②
    【楽にはなりますが、Bitwardenにログインする際、2段階認証をBitwardenにかけちゃうとAuthyがないので詰みます。なので、バックアップパスワードは比較的覚えておくもの、もしくはUSBメモリか何かオフラインで。】
    →平たく言うと、authyのバックアップパスワードは、自分でしっかりしたパスワードを考えた方が良い!!ということですよね?

    【で手元にBitwardenの2段階認証リカバリーコードのメモや、】
    →このリカバリーコードとは、bitwardenに2段階認証を再設定するために、bitwarden上で必要なものですか?

    【Bitwardenのバックアップそのものを残しておくといいです】
    →ここが、特に分からなくて、すみません。bitwardenのバックアップをオフラインで残すということですか?
    クラウドに残っているのではないですか?
    後の文脈から、bitwardenのバックアップとは、bitwardenのリカバリーコードと同じ意味と捉えたのですが、そういうことですか?

    ※セキュリティの本質・キーワード・アプリ構造をしっかりできていないので、理解度低くてすみません。

    【※リカバリーコードのメモにリカバリーコード以外の情報を書くことは禁止。】
    →これは、bitwardenのリカバリコードがあれば、全部のパスワードがバレてしまうので、類推されるような痕跡をメモに一切残すなよ。ということですよね?

    質問③
    【なるほど、ちょっと明日試してみます。
    明日のぷっぷメモ(APM):AndroidにAuthyインストール → iPhone電源Off → AndroidのAuthyに今までの2段階認証を呼び起こせるか】
    →お忙しいところすみません。仮想実験までしていただくなんて、とっても、ご親切な対応頂き、恐縮です。

    ・iPhone電源offが、僕の旧端末iPhoneを紛失したと仮定したもの。と理解しました。
    ・そして、Androidが、僕の新端末iPhoneですよね?
    ・そこでのポイントは電話番号による音声か、SMSを利用したもので、Androidで呼び起こす方法だと思っています。

    ・【僕に当てはめた仮説の仮説】docomoで、旧端末iPhoneから、新端末iPhoneに電話切り替えたとしても、simカード(SIMフリーではない)は旧端末iPhoneに残っているし、、、、、とかなんとか考えていると。docomoショップで新端末にデータ移行を無理やりしてもらわないとな、、、、。
    とか、考えすぎて、わけわからなくなったきました。
    すみません。仮定に仮定を上乗せして、先走ってしまいました。

    ⚫️実際の試行の結果、楽しみにしています。

    またまた、長文となりましたが、よろしくお願いします。
    m(_ _)m

    • ぷっぷぷっぷ より:

      試したら普通に英語で書いてありました(´ε`;)
      詳細複数端末で使用する:機種変更や紛失用
      わかりにくかったのでさらに補足を追加。
      簡単に言うと既存のデバイスがないなら音声かSMSでコードを受信する必要があり、それで本人確認→端末連携許可→バックアップパスワードの入力で2段階認証コードが復号化され閲覧可能という流れです。
      ちなみに、本人確認が済んだ段階でスキップしたところ(英語読めないし)、2段階認証コードすべてがすでに同期済み(暗号化されて閲覧はできない)だったため、本人確認以降が英語で読めなくても詰まないようになってるみたいです。
      これは親切設計。
      紛失した場合はSMS・音声通話を受信できる端末が必要なので、携帯ショップ不可避ではあります(詰んではいない、登録情報で本人確認→再度使えるようになるはず)。

      正確には同期が確認できたため、復号化するバックアップパスワードの入力は面倒だったので試していません。同期されている以上問題はないと判断。

      【authyを設定しているうちに、何か書くことがあれば、そのメモ欄に書く】
      →そのメモ欄とは、bitwardenの中の暗号化できる保管庫みたいな中に保存するという意味ですか?

      Bitwardenへアカウント情報を登録する際、下の方にメモ欄があるのでそこに書き込むという意味です。

      【楽にはなりますが、Bitwardenにログインする際、2段階認証をBitwardenにかけちゃうとAuthyがないので詰みます。なので、バックアップパスワードは比較的覚えておくもの、もしくはUSBメモリか何かオフラインで。】
      →平たく言うと、authyのバックアップパスワードは、自分でしっかりしたパスワードを考えた方が良い!!ということですよね?

      それでもいいし、私みたい2つパスワード管理ソフトを使える端末(パソコン・スマホなど)があるのであれば、両方にAuthyのバックアップパスワードを入れることで片方を紛失してもAuthyは使えます。

      【で手元にBitwardenの2段階認証リカバリーコードのメモや、】
      →このリカバリーコードとは、bitwardenに2段階認証を再設定するために、bitwarden上で必要なものですか?

      そうですね。
      2段階認証コード発行アプリ紛失時、Bitwardenにログインする際にコードがないため、詰まないようにするリカバリーコードです。

      【Bitwardenのバックアップそのものを残しておくといいです】
      →ここが、特に分からなくて、すみません。bitwardenのバックアップをオフラインで残すということですか?
      クラウドに残っているのではないですか?
      後の文脈から、bitwardenのバックアップとは、bitwardenのリカバリーコードと同じ意味と捉えたのですが、そういうことですか?

      サービス提供者側からは閲覧できないため(暗号化済み)、残っているようで残っていません(゚~゚o)
      Bitwardenが何かやらかしたり、サービス停止や自然災害で大変な時になった時ように、手元(オフライン)に残しておくといいですよ的な話ですね。

      【※リカバリーコードのメモにリカバリーコード以外の情報を書くことは禁止。】
      →これは、bitwardenのリカバリコードがあれば、全部のパスワードがバレてしまうので、類推されるような痕跡をメモに一切残すなよ。ということですよね?

      なんかちがーう( Ꙭ)

      • リカバリーコードのみ:情報不足、侵入できない
      • リカバリーコード+覚えていないのでメールアドレスとパスワードも書いておく:このメモ入手=勢揃いで侵入できてしまう

      といった感じなので、メールアドレスは書いても問題ないですが、マスターパスワードとリカバリーコードを同じ紙に書くのは禁止でお願いします。
      ※マスターパスワードは頭の中。

      うーんこんな感じ?(´ε`;)

  9. ねとふり より:

    ぷぅぷさま。数々の細かい質問にすべて丁寧に回答して頂き、ありがとうございます!!
    感謝しています。
    最後に自分なりにポイントをまとめてみました。

    <Bitwarden>
    ①マスターパスワードは、全てにおいて一番重要なパスワード。
    ②リカバリーコード(32桁)は、Bitwardenの2段階認証を解除するもの。携帯端末の紛失時・破損時に使用。

    <Authy>
    ③バックアップパスワードは、携帯端末の紛失時・破損時に復元が可能(つまり、新しい端末に情報を引き継ぎできる)。

    ●僕は、上記①と③を頭の中に入れてます。
    よって、携帯端末紛失時は、新しい端末は、
    1.BitwardenアプリとAuthyアプリをダウンロード
    2.Authyアプリを上記③バックアップパスワードで新端末に復元。
    3.Bitwardenアプリに上記①マスターパスワードでログイン可能(2段階認証アプリあるのでログイン可能)
    4.念のため、Bitwardenアプリの登録端末から、紛失・破損した旧端末を削除しておく
    とうい流れになると思いました。

    ●ただ、上記③バックアップパスワードを忘れてしまった場合は、
    1.Bitwardenアプリをダウンロード
    2.上記②リカバリパスワード(32桁)を使って、Bitwadenの2段階認証を解除する
    3.Bitwardenアプリに上記①マスターパスワードでログイン可能(2段階認証が解除されているので)
    4.念のため、Bitwardenアプリの登録端末から、紛失・破損した旧端末を削除しておく
    5.ここで、Authyアプリを再度取得して、Bitwardenに登録している上記③バックアップパスワードを利用して、Authyを新しい端末に復元する
    という流れになると思いました。
    ここでの、ポイント一つ目は、ぷっぷ様のおっしゃる通り、上記③バックアップパスワードをBitwardenに登録しておくことですね。
    そして、ポイント二つ目は、上記②リカバリーパスワードは、流石に紙ベースなどで保管しておかないといけないということ。

    ●結論として
    Bitwardenの①マスターパスワードと、Authyの③バックアップパスワードを頭の中に、ちゃんとインプットしておけば、Bitwardenの②リカバリーパスワードは極論全く必要ないということだと思いました。

    ぷっぷさま、以上の僕の結論は、合ってますか?
    何度も何度もすみません。
    何卒、ご回答よろしくお願い致します。

    • ぷっぷぷっぷ より:

      リカバリーパスワードは、流石に紙ベースなどで保管しておかないといけないということ。

      コレ以外は認識通りです∩(・∀・∩
      リカバリーコード単体に限り、紙での保管で問題ありません(これだけではただの文字列にしかならない)。
      もちろん他の方法、私でいうなら手元用のバックアップKeePass(パスワード管理ソフト)に入れていたり、色々方法を残しています。

      あとは補足として、Authyのバックアップパスワードはしょっちゅう入れるものでもないから、おそらく忘れます 笑
      こちらも「バックアップパスワードが流出してもそれだけでは何もできないシリーズ」なので、紙でもいいです。
      電話番号がバレても、本人確認のために電話番号が受信できる端末が手元にないとバックアップパスワード入力画面に行けないみたいですし、こちらもそんなに恐れるレベルじゃないパスワードとなっております。

  10. ねとふり より:

    ぷっぷさん、早速のご回答ありがとうございました。

    【リカバリーパスワード】は、流石に紙ベースなどで保管しておかないといけないということ。
    コレ以外は認識通りです∩(・∀・∩

    の部分ですが、
    リカバリーパスワード(リカバリーコード&各種パスワード)と思わせてしまい。すみませんでした。

    →リカバリーコードと記載すべきところ、間違ってしまいました。

    ⚫️文章の中で、キーワード(コードとか、パスワードとか)の使い方をミスすると、IT系の会話はとても、わかりにくくなるんですね。

    ぷっぷ様の記事は、そんなミスもなく、本当にわかりやすいです。
    脱帽です。

    心より応援しています。
    ありがとうございました。

    • ぷっぷぷっぷ より:

      ありがとうございます、やる気の源になります∩(・∀・∩

  11. 匿名 より:

    記事でちょこっと紹介されているMicrosoft Authenticatorは、Android版でWI-FIで接続されているとクラウドでバックアップできまい致命的な欠点があるからオススメできない
    (GooglePlayのレビューでも同じような報告あり)

    • ぷっぷぷっぷ より:

      (゚~゚o)ウゥーン
      バグっぽいからそのうち直りそう……
      iOS版にそのようなのないですし、様子見かな!

  12. ランドセルでかい より:

    質問です。

    authyは初期設定時に電話番号が必要だとわかったのですが、電話番号とアカウントは紐ついていないという認識でいいのでしょうか?つまりその後authyのログインなどの際に電話番号は必要がない?
    音声SIM端末でauthyを登録し、そのごその音声SIM端末をデータSIM端末に変更した場合使用できるのか疑問になりましたのでお聞きした次第です

    • ぷっぷぷっぷ より:

      電話番号とアカウントは紐ついていないという認識でいいのでしょうか?つまりその後authyのログインなどの際に電話番号は必要がない?

      いえ、紐付いています。
      他端末へバックアップを復元する際、電話番号を入力しないと呼び起こされない仕様です。
      参考複数端末で使用する:機種変更や紛失用

      音声SIM端末でauthyを登録し、そのごその音声SIM端末をデータSIM端末に変更した場合使用できるのか疑問になりましたのでお聞きした次第です

      それはいける可能性大です。
      すでにインストールされ、情報も登録されている状態で電話番号の認証が入ったことは、一度もありません
      定期的なバックアップパスワードの確認のみです(スキップ可)。
      ※試していないため、試す場合はAuthyのすでに入っている端末でSIMを抜き、使えれば成功。オフラインで使用可。

      問題はその後であり、電話番号は「再利用される」ということです。
      すぐではありませんが、再利用された電話番号をAuthyで使われると、よくわからないことになるかもしれません。
      端末のデータは残りますし、普通に使えるため乗り換える際は

      1. 新しい電話番号を取得 → 更新
      2. 電話番号が反映されたら新しい端末にAuthyをインストール
      3. バックアップパスワードで暗号を復号

      でいけるかと思われます∩(・∀・∩

      • ランドセルでかい より:

        すいません、私はただバックアップの復元がよく分かっていないのだと思います。

        電話番号はただのアカウントを識別する文字列と思っていいのでしょうか?という疑問があります。


        旧端末 authyダウンロード

        新端末 音声SIM入れる authyダウンロード

        この場合旧端末は電話番号がmnpによってない状態ですがデバイスの承認要求は来るのでしょうか?つまり、登録時はSMSとして電話番号の役割を果たしていたが、その後は電話番号は識別文字列に過ぎないため電話番号としての機能がなくても大丈夫?承認要求は旧端末に来る?という疑問がありました。来ないならばバックアップから復元できない?という不安があります。

        明後日はいないので、ご返信いつでも大丈夫です。暇な時で大丈夫です。何か私の基礎的な知識が不足しているための質問でしたらごめんなさい。すいませんが、お願いします。

        • ぷっぷぷっぷ より:

          うーん、試さないとわからないレベルのものですね……
          そもそも電話番号必須前提で使うものであり、途中でなくなるということを想定されていないように思えます(ヘルプがない:通常は新電話番号に変更で解決)。
          テスト自体は私の方でも可能ですが、すっごく面倒なのでパス(´ε`;)

          復元する際に「USE EXISTING DEVICE(既存のデバイスを使用する)」が通話とSMSを差し置いて大きく表示されるため、旧端末に承認要求が来るような気もしますが(オフラインだと100%届かないし、マルチデバイスをONにもしておく必要がある)、やはり試さないと確定的なことは言えないですね。

          • ランドセルでかい より:

            つまり、authyを使う以上、mnpで音声SIMの端末を変更することはできないというか多少なりともリスクがあるのですね、、、

            • ぷっぷぷっぷ より:

              うーんリスクがあるかどうかも調べないとわからないですね(´ε`;)
              実際のところ回避策が結構ありまして、見逃している可能性はあるっちゃあります。
              ただ、ややこしいのです(一定時間待たされたり、複数の回避策がある・英語)。
              基本的な使い方はこの記事に書いてあるとおりに使えばいいだけなのですが、今回のように特殊なケースは要調査ですね。
              お力になれす申し訳ないです。
              ただ、旧端末を持っていさえすればリスク分散はできています(その後新端末で復元可能かどうかはさておき)。

              • 匿名 より:

                すいません、返信ありがとうございます。
                authyを入れた端末をmnp転出で電話番号を乗り換えちゃうと旧端末新端末共に動作が不明という感じですかね。(旧端末は多分使えそう。新端末にバックアップを復元できるか微妙。)
                電話番号が紐付いていない2段階認証アプリを検討したいと思います。
                ご丁寧にありがとうございました。

  13. ななしし より:

    初めまして。私はAuthyで端末に縛られない快適な2要素認証ライフを送っていました。今の今までは。
    ふと「Authyが突然サービス終了したらどうしたらいいの…?」と思いついてしまったのです。そしてこの記事にたどり着きました。

    おそらく登録している各サイトを巡って別の二要素認証アプリで登録しなおすという事になるのでしょうね。二要素認証ってそんなに簡単に登録しなおせましたっけ…。たぶんできそうな気はしますが、私はそこそこの数を登録しているのでそれなりに面倒な作業になりそうです。
    このコメントを書きながら考えたのですが、登録時に他の2要素認証アプリも同時に登録するといった事をしておいたほうが良さそうですね。とはいえそうなるとAuthyと同等の機能をもったアプリがもう1つないとそれに引きずられて利便性が落ちてしまうという事になります…。調べてみたところ LastPass Authenticator がAuthyと同様のバックアップ&同期機能があって良さそうでした。が、私はすでにLastPassでパスワード管理してしまっているので、2要素アプリまでLastPassに預けるのは危険かと思い断念しました。これからもAuthyを信じ続けたいと思います。

    • ぷっぷぷっぷ より:

      結論からいうとAuthyのサービス会社(Twilio:日本語化された模様)はKDDIとパートナーというほどでかいところなので、ほぼ気にしなくてOKだと思われます(*゚▽゚)
      開発者向けサービスだから裏方ですね。
      何をしている会社かは以下
      Twilio – About the Cloud Communications Company
      いつの間にか日本語化されているということは、もしかしたら……?

      ちなみに、Authyはボランティアでやっているサービスだったはず(広告がない)。
      そして、昔はIIJ を2台持ちバックアップをしていました(Google Authenticatorはまだ駄目だった頃かつAuthyも知らなかった頃)。
      Authyに変えてからはAuthyと心中です!

タイトルとURLをコピーしました