Authy(オーシー)ならクラウドのおかげで自動バックアップになり、機種変更も同期するだけで楽チンだ。
「Google認証システム」は機種変更が楽になったとはいえ紛失時が面倒だし、「IIJ SmartKey」は1つずつしかエクスポート(書き出し)できないため実質利便性No.1の2段階認証アプリだろう。
それでは、Authyのクラウド管理が安全・便利だということと、Authyの使いやすさを説明していく。
もうずっとAuthyのままでいい。
Authyのメリット
- 複数の端末で使える
- 最低限のバックアップは確保できる
- 機種変更は同期するだけ
- 公式ロゴ(アイコン)で見分けが簡単
- Authyでしか2段階認証を使えないサービスがある(約1%でレア:私の環境だとビジネス関係の2件くらいのため、ほとんどの人には関係ない可能性あり)
となっており、利便性は2段階認証アプリ最強だが、「英語しか対応していない」せいか避けられることも多いようだ。
ハッキリいうとバックアップの面倒さより英語のまま使うほうがマシ。
最近ではMicrosoft Authenticatorやオープンソースアプリ(中身のプログラムを確認でき、不正がしにくい)もオススメだが、やはりたまにあるAuthyでしか使えないサービス用の関係でやりすぎセキュリティではAuthy最強としている(いきなりAuthy縛りをされても困る)。
画像とか記事で「Authy最強!」ってだいぶ前から言っちゃってて、それを変更するのが面倒だからだよ∩(・∀・∩
デメリット
- 英語
- 電話番号(050不可)かSMS番号が必要
- オープンソースではない
「データSIM」のみは不可のため、SMS番号は入手しておこう。
アプリの英語は慣れると問題ないが、やはり英語の抵抗力がない方からすると非常にストレスだし、何か不具合になった際のサポートも英語で送信しなければならない。
データSIMやどうしても英語が嫌な方は、日本語でシンプルに使える「Google認証システム」にしよう。
また、オープンソース(不正がしにくい)ではないのでプログラムの中身を確認できないが、2段階認証コードをAuthyに利用されたとしても、Authyはパスワードを知らないため何もできない=基本無視でいい。
まったく問題のないクラウド管理
まったくは言い過ぎかもしれないが、2段階認証のコードとアカウント情報を「同時に見られなければ」問題はない。
Authyに侵入されただけでは6桁のコードは役に立たず、別にアカウント情報が必要だからだ。
もちろんアカウント情報がすでに流出していたらアウトだが、「どちらかが流出している状態」は異常であり、それ以前の問題である。
私の中では紛失・盗難から流出するものだと思っているので、流出経路をある程度知って防御力を高めよう。
Authyのセキュリティはこれで十分なのだ。
ダウンロード・インストール
公式サイトのDownload – Authyページにアクセスし、ダウンロードしてこよう。
この記事ではAndroid版で説明していく。
インストールが終わったらそのまま開こう。
アカウント作成
「Code」をタップして「81のJapan」を探し、電話番号・SMS番号を入力する。
「番号最初の0」は抜かさなくていい(そのまま入れるということ)。
今度は「Eメール入力項目」が出現するので入力。
すると、音声認証かSMS認証どちらかを選択できる表示がでてくるが、英語を聞き取れないのでSMSにしよう。
端末に入っているショートメッセージサービスに6桁のコードが届き、そのコードを入力。
入力しなくても自動でコードを読み取って次の画面が出現することもある。
そのまま読み進めよう。
使い方
英語に慣れるしかないが操作自体はシンプルで、だいたい4タップで完結する。
バックアップパスワード設定
中央の「+」をタップ。
初回なら「SECURE BACKUPS(安全なバックアップ)」表示がでるので、パスワードを設定していこう。
パスワードに不満があるなら、せめて底上げしておこう。
すると、QR読み取り選択が出現するので次へ進む。
QRコード読み取り(スキャン)
2段階認証のアカウントを追加できる表示がでているので、「SCAN QR CODE(スキャンQRコード)」をタップしQRコードを読み込もう。
でていなければ右上の「︙」をタップし、「Add Account(アカウント追加)」を選択。
今後はこの動作で追加していく。
読み取るとロゴ(アイコン)と名前を付けられる。
「複数同じアカウントを持っていても判別できる名前」を付けよう。
初回やキリの良い登録数になると「シェアしてください表示」がでる。
シークレットキー読み取り(手動入力)
手動入力が面倒ならAndroid専用Google レンズ、iOSはSafariに画面のQRコードを読み取る機能があるのでオススメ。
参考どうやってアクセスする? iPhoneに表示中のQRコードをカメラで撮らずに読み取るワザ | できるネット
Google レンズ
Google LLC無料posted withアプリーチ
それ以外は「︙」をタップして「Add Account(アカウント追加)」→ 2段階認証のアカウントを追加する表示の下にある「ENTER KEY MANUALLY(手動でキー入力)」をタップ。
「このような文字列だよ」と例を表示されたら、コピーしたシークレットキーを貼り付けよう。
シークレットキーのほとんどはQRコードの近くに「非常に長い文字列」が表示されているか、「Secret Key(シークレットキー)」・「別の方法で設定する」的な文言の場所にあるはずだ。
あとはスキャンと同じようにACCOUNT NAME(サービス名)に「複数同じアカウントを持っていても判別できる名前」を付けよう。
ロゴ・名前・デザイン変更と削除
「長押し」するとロゴ・名前変更ができる「ペンマーク」と、削除の「ゴミ箱」が出現する。
後は変更・削除するだけだ。
削除しても48時間はAuthyに残り、「Settings(設定)」→「ACCOUNTS(アカウント)」→「復元したい項目」→「Restore(復元)」をタップして復元できる。
デザインの変更は「︙」の「隣にあるマーク」をタップすると、タイル型からリスト型に変更可能。
リスト型も同じように「長押し」すると、ロゴ・名前変更・削除ができる。
セキュリティ設定
4タップくらいで設定できるので、とりあえずやっておこう。
アプリケーションロック
4桁のPINかiPhoneならTouch IDで指紋認証を設定でき、iPhoneではないのでPINの説明をするが、場所は同じはずだ。
「Settings(設定)」→「MY ACCOUNT(マイアカウント)」の「App Protection(アプリの保護)」をタップして、電話番号や誕生日を避けたスマホロックとは関連性のない4桁を付けよう。
設定が終わると「設定解除と今のPINを変更する画面」になり、今は用がないので無視。
PINの強化方法も以下の記事を参考にして強化されたし。
複数端末許可・削除
端末をこれ以上登録させたくなかったり不要になった端末は削除することができるが、「Allow multi-device(マルチデバイスを許可)」をOFFにしたら18時間くらいONにできなかった。
「Settings(設定)」→「DEVICES(端末)」の「Allow multi-device(マルチデバイスを許可)」にこの項目があり、基本的にはONのままでいい。
ちなみに、複数端末を無効化した状態で登録すると、以下のようなエラーがでて登録不可。
一応設定を解除できる手段が用意されているが、電話番号・SMS番号が必要で、復帰に24~96時間かかることを覚えておこう。
そうするとアプリの設定がすべて解除され、最初からアプリを使える状態になるらしい。
当然、バックアップをしていなければ何も残らず絶望する。
公式サイトAuthyアカウント復元(英語)
次に、不要な端末を確認しよう。
「This Device(この端末)」は接続中の端末なので、「Your Devices(他のあなたの端末)」をタップ。
「Your」の方だぞ。
これで不要な端末を削除できたはずだ。
複数端末で使用する:機種変更や紛失用
同じように別の端末でアプリをインストールし、最初に使用していた電話番号(SMS番号)を入力すると、PHONE CALL(音声:紛失時向け)・SMS(紛失時向け)・「USE EXISTING DEVICE(既存のデバイスを使用する)」が出現するのでタップ。
USE EXISTING DEVICE(既存のデバイスを使用する)の場合、「元々使用していた端末」のステータスバーに項目が出現(出ないかも)、タップすると「新しい端末を許可しますか?」と聞いてくるので、「ACCEPT(受諾)」を選択して許可 →「OK」(小文字でも可)と入力してOK!
すると最後に「Success(成功)」表示がでてくるので、OKを押すと別の端末でも同じワンタイムパスワードを使えるようになる。
ここからは「バックアップパスワードを設定していたとき」の画面になる。
以下のようにワンタイムパスワードがきちんと暗号化された状態だ。
何でもいいので項目をタップすると、「バックアップパスワードで設定したパスワードを入力して」と言われるので、入力するとすべての暗号化が解除され正常に使えるようになる。
セキュリティと注意力を高める
2段階認証設定で「バックアップコードやシークレットキーの保存場所」に迷っているなら、メモも暗号化されるパスワード管理ソフトを導入しよう。もちろん無料だ。
当サイトはパスワード管理ソフトの紹介に自信を持っているので、是非一読されたし。
クラウドストレージや端末丸ごと暗号化はこちらがオススメ。
そもそも紛失したら終わりなので、紛失時の対応力も向上させよう。
コメント
現在Google Authenticatorを使用しています。Authyに移行しようと思いましたが、アカウントを作らなければならない点と、クラウドに情報がアップロードされるという点が気になり移行に踏み切れません。
SMS番号がアカウントになるという事は、そこから本人特定がされそうで不安を感じています。
電話番号とメールアドレスのセットで本人が特定されるとはどういった状態を想定するかによるかもしれません。
電話番号だけで個人の特定は電話会社くらいしか知らないと思いますし、メールアドレスもその会社が本人かどうか知っているだけで、Authy側からしたらただの識別にしか使えないと思います(゚~゚o)
電話番号とメールアドレス両方を知っているのは家族や友達だと思いますが、もしAuthyにその情報を入れられてもバックアップパスワードがあるので、どのサービスに登録しているかなども同期されないためわかりません。
実際のところ電話番号とメールアドレスはほぼ公開情報で家族と友達が知っていることを考えると、例えこれが流出しても部外者が特定までは行けないとも思います(もし特定できているのであれば、スマホ紛失時の電話帳データなどでも被害がかなりでているはず)。
また、クラウドにアップされる2段階認証情報は暗号化されていなくても比較的どうでもいいという話(ワンタイムパスワードでは何もできないため)は、ちょうど最近にあった匿名さんとのコメントをご覧ください∩(・∀・∩
なので、ちょっと考えすぎだと思います。
もしまだ不安であれば、特定されるケースを言ってもらえれば対応できます!
やっぱり考えすぎですか・・・いや、確かに「お前は誰と戦っているんだ?」とか言われる事も多々あります・・・・
私は通話用1台、データ通信用2台の端末(スマホとタブレット)を持っていて、使用しようとしている電話番号はデータ通信用端末の物で、他人へは公開していないです。二段階認証で使った事がある程度です。
特定されるケースは、電話会社がお漏らしするか、何らかの手段で誰かがデータ通信用端末の番号を知った時だけしか思いつかないです。
私も「お前は誰と戦っているんだ?」的なこと言われるかも……
これからその人が成功するかもしれないのに、弱者の段階で保険をかけるのは当然だと思いつつ、その場しのぎで「確かに!」とか言ってますけども( Ꙭ)
※信号無視で例えるなら、「弱者の時点で信号無視をしない」を徹底することと似ているかも。
その話はこれくらいにして、
世の中に電話番号を教えただけで、そのサービスに登録されているアカウント情報を教えてくれる口の軽いサービスがあるとは思えないんですよね。
前回のコメントにも書いたとおり、それが実際にあった場合はもうちょっと騒ぎになっていてもおかしくないと思いますし、割と思いつく手法なので長い期間耳に入ってきていないのもその可能性を引き上げています。
また、電話会社が流出させた場合は個人情報がバレるだけで、「ネットで何をやったかはバレない(ここ重要)」んですよね。
「個人名・住所がバレて売買されるー」までは可能性としてありますが、隣人と親しくなくても個人名・住所・さらに顔まで知っていることを考えると、実際はその情報がほとんどどうでもいいと感じるはずです。
というわけで、Authyに登録した電話番号とメールアドレスが流出しても、それだけでは何もできない、何かされるとしたら名簿業者が迷惑電話やスパムを仕掛けてくる程度だと私は想定しています。
※すべて妄想であり、根拠がないのであしからず!
何を隠そう私も考えすぎの一味でーす∩(・∀・∩
Authyに登録する際に使用するメールアドレスは今ある物とは別に用意した方が良いでしょうか?
クラウドサービスやSNSなど匿名で登録して使うメールアドレスを使おうと思ったのですが、どこかで足が着いたら嫌だなあと思いまして。
どこまで許容するかによるかも?(゚~゚o)ウゥーン
例えば
これらすべてのメアドが一緒かつAuthyかクラウドで流出したと仮定して、Twitterの「メールアドレスの照合と通知を許可する」の状態にしていた場合は暴言アカウントがバレる可能性はあります。
参考【身バレ抹殺】Twitterのプライバシーとセキュリティ設定
なので、メールアドレスで照合される可能性のあるものは大体SNSくらいだと思うので、そこらへんの設定を見直せばそういったアカウントが回り回ってバレる可能性はないとは思います。
そして、「それを考えるのが面倒だなー」って思うのであれば、新しいメールアドレスを作成した方が早いです∩(・∀・∩
一応、上記の例「暴言アカウント」のようなものがないのであれば、特に流出してもAuthyに侵入されるわけじゃないし、クラウドサービスも侵入されるわけでもないので「問題か?」と言われると「うーん気にしなくていいかな」という感じになります。
どのサービスもメールアドレス・電話番号が流出しても、「そこにサービスが情報を送信するため自分しか確認できない」という前提のもとにセキュリティが成り立っているようです。
スマホって落としたら本当にヤバーイ( Ꙭ)
お世話になります!最近よく拝見させていただいております!
見当違いな質問であればすみません。
bitwardenの保存されるクラウドは、ググるとマイクロソフトのクラウドとでてきたので安心しておりましたが
Authyが保存されるクラウドは安全なのでしょうか。ネットでググってもでてきませんでした。
ご教示お願いいたします。
(゚~゚o)ウゥーン 書いていないのでわからないですね……
実際のところどうでもいいので無視しており、その理由を書いてごまかします(゚´Д`゚)゚。
まず、バックアップは無効化することができ、その場合は端末にしか保存されません。これは他のアプリもそんな感じですね。
次にバックアップをクラウドにアップする場合暗号化され、その暗号化されたデータがAuthyのクラウドに滞在し、使う時に端末で復号化されるタイプのようです(これってエンドツーエンドじゃ?書いてない……)。
参考How Authy 2FA Backups Work
そして本命が、「Authyのクラウドが襲われてもアカウント情報がない状態のため、6桁ワンタイムパスワードは何の役にもたたない」です。
アカウント情報とワンタイムパスワードは通常一緒に保管されていないため、どちらかが盗まれても片方が仕事をするというシステムです。
しかも、その間に「Authyのクラウドが襲われたー」というニュースが先に飛び込んでくると思いますし、Authyのクラウドを襲った人物は世界の誰かもわからないAuthyに登録されたワンタイムパスワードと一致したアカウントを探すためかなりの猶予があるでしょう。
というわけで現状は無視で良いかと思いますが、もし不安でしたらGoogle Authenticatorをおすすめします。
まだAndroidさえ実装されていませんし、iOS版もまだ先のようですがIIJの上位互換になってQRコードを使って一発で乗り換えができるようになる模様です。
参考2段階認証アプリ「Google 認証システム」でようやくまとめて移行可能に
ぷっぷさん お疲れ様です!
いろいろ教えていただきありがとうございます!
IT?に詳しくなく、難しいことはわかりませんが、Authyは、クラウドに暗号され保存されるため、どこのクラウドかはあまり問題ないって感じはわかりました。
Google Authenticatorも、古い端末が壊れたり、下取りに出した場合どうするんだろうと思います。その点、Authyは、バックアップパスワードがあれば、その問題は、回避できるのかなと思います。
ワンタイムパスワードも、Authy、一本にしようと試みましたが、銀行系のワンタイムはそれ専用アプリが必要で、一本化には、なりませんでした。。。。
マイクロソフトのワンタイムも、マイクロソフトのアカウント専用機能、携帯を使用してパスワードなしでサインインできる機能?のがあるようですし、色々ワンタイムアプリを使い分ける必要がありそうです。。。
●また、返信のなかで、『これってエンドツーエンドじゃ?』とはどのようなことでしょうか?あまり良くないってことでしょうか?
よかったらおしえてください。
なーんか日本の銀行って独自のアプリでセキュリティを高める古ーい手法が多くて、それ本当にやめてほしいですよね(´ε`;)
年に数回しか使わない機能のためにアプリダウンロードって、何もユーザーのこと考えてないと思う(酷評)。
ちょっとよくわかりませんが、私はマイクロソフトのアカウントも普通の2段階認証アプリで使用しています。
確かマイクロソフト専用のアプリがあって、そのまま進めていくとそれを推奨されて「それしか使えないのかな?」と錯覚するけど、実は使えるはずです∩(・∀・∩
この場合のEnd to Endとは、端末で暗号化されてAuthyのクラウドに2段階認証情報が移動 → Authyからは端末で暗号化した時の鍵がないので復号化出来ず、Authy関係者ですら閲覧できない(会社の信頼度を無視できる)。
というような仕様のことをエンドツーエンドといいます!
仮にエンドツーエンドじゃなかった場合でもワンタイムパスワードだけじゃ何もできないので、そんなに重要ではありませんが、ないよりは遥かにいいです( Ꙭ)
Authyの退会方法を教えていただきたいです。
登録したアカウントを全て削除したあとアプリをアンインストールすればよいのでしょうか。
それとも何か特別な操作が必要なのでしょうか。
osはandroidです。
公式の一番下に「DELETE ACCOUNT(アカウントの削除)」項目があるので、そちらを確認してください!
アプリからはできず、公式に「削除してくださーい!」とリクエストをし、30日後に削除されるようです。
参考Authy DELETE ACCOUNT
Googleページ翻訳が使えないようなので流れを言っておきますと、
「Authyに登録されている2段階認証を削除しても、サービス側の2段階認証を止めていないと完全に無効にしたとは言えません」
「Authyに登録した2段階認証を消すと、2段階認証を解除していないサービスへのアクセスはできなくなります」
という注意書きがあり、Authyに登録した国籍と電話番号かSMS番号を入力すれば削除申請が完了のはずです。
これ以上先は私が怖いので触っておりません( Ꙭ)
一応わかりづらいと思いますので、翻訳は以下のサービスを使うといいです。
スマートフォンとGoogle、両方の呪縛から逃れようと代わりのAuthenticatorを探していてこちらのAuthyの記事をみつけました。早速使ってみて、最高です。
最高いただきました!
お役に立てていただきうれしいです ・ω・
パスワードマネージャーはオープンソースにこだわっておられますが、2FAアプリはオープンソースで無くても良いのですか?
2段階認証の詳しい仕様はわかりませんが、2段階認証のコードだけ流出したところで何の問題にもならないため、重要度は低いです(*´ω`*)
基本ユーザー名・パスワードはセット流出しますが、2段階認証は時間経過で変わる&ネット上でアカウント情報を抜き取られても2段階認証コードはスマホアプリに存在しているため、盗めないからです。
もちろんアプリに細工されて謎通信をされてたらアウトですが、こればっかりはどうしようもないので割愛!
一応、bitwardenの有料プランにある2段階認証コード生成機能はオープンソースってことになるかも?(但しパソコンだけで完結してしまうので若干リスク向上)
もちろん機種変更が楽なオープンソースがあれば紹介させていただきますので、ご存知でしたら教えていただけると超うれしい! まだ生まれてないかもだけど(゚~゚o)
ちなみに、Googleはいわずもがな、authy(twilio)はKDDIと通信事業でなんかやってて、・IIJSmartkeyはビックカメラのSimカードで有名だったり。
オープンソースがダメだった場合は、私は企業のレベルや実績を参考にしています。