Authy(オーシー)ならクラウドのおかげで自動バックアップになり、機種変更も同期するだけで楽チンだ。
「Google認証システム」は機種変更が楽になったとはいえ紛失時が面倒だし、「IIJ SmartKey」は1つずつしかエクスポート(書き出し)できないため実質利便性No.1の2段階認証アプリだろう。
それでは、Authyのクラウド管理が安全・便利だということと、Authyの使いやすさを説明していく。
もうずっとAuthyのままでいい。
Authyのメリット
- 複数の端末で使える
- 最低限のバックアップは確保できる
- 機種変更は同期するだけ
- 公式ロゴ(アイコン)で見分けが簡単
- Authyでしか2段階認証を使えないサービスがある(約1%でレア:私の環境だとビジネス関係の2件くらいのため、ほとんどの人には関係ない可能性あり)
となっており、利便性は2段階認証アプリ最強だが、「英語しか対応していない」せいか避けられることも多いようだ。
ハッキリいうとバックアップの面倒さより英語のまま使うほうがマシ。
最近ではMicrosoft Authenticatorやオープンソースアプリ(中身のプログラムを確認でき、不正がしにくい)もオススメだが、やはりたまにあるAuthyでしか使えないサービス用の関係でやりすぎセキュリティではAuthy最強としている(いきなりAuthy縛りをされても困る)。
画像とか記事で「Authy最強!」ってだいぶ前から言っちゃってて、それを変更するのが面倒だからだよ∩(・∀・∩
デメリット
- 英語
- 電話番号(050不可)かSMS番号が必要
- オープンソースではない
「データSIM」のみは不可のため、SMS番号は入手しておこう。
アプリの英語は慣れると問題ないが、やはり英語の抵抗力がない方からすると非常にストレスだし、何か不具合になった際のサポートも英語で送信しなければならない。
データSIMやどうしても英語が嫌な方は、日本語でシンプルに使える「Google認証システム」にしよう。
また、オープンソース(不正がしにくい)ではないのでプログラムの中身を確認できないが、2段階認証コードをAuthyに利用されたとしても、Authyはパスワードを知らないため何もできない=基本無視でいい。
まったく問題のないクラウド管理
まったくは言い過ぎかもしれないが、2段階認証のコードとアカウント情報を「同時に見られなければ」問題はない。
Authyに侵入されただけでは6桁のコードは役に立たず、別にアカウント情報が必要だからだ。
もちろんアカウント情報がすでに流出していたらアウトだが、「どちらかが流出している状態」は異常であり、それ以前の問題である。
私の中では紛失・盗難から流出するものだと思っているので、流出経路をある程度知って防御力を高めよう。
Authyのセキュリティはこれで十分なのだ。
ダウンロード・インストール
公式サイトのDownload – Authyページにアクセスし、ダウンロードしてこよう。
この記事ではAndroid版で説明していく。
インストールが終わったらそのまま開こう。
アカウント作成
「Code」をタップして「81のJapan」を探し、電話番号・SMS番号を入力する。
「番号最初の0」は抜かさなくていい(そのまま入れるということ)。
今度は「Eメール入力項目」が出現するので入力。
すると、音声認証かSMS認証どちらかを選択できる表示がでてくるが、英語を聞き取れないのでSMSにしよう。
端末に入っているショートメッセージサービスに6桁のコードが届き、そのコードを入力。
入力しなくても自動でコードを読み取って次の画面が出現することもある。
そのまま読み進めよう。
使い方
英語に慣れるしかないが操作自体はシンプルで、だいたい4タップで完結する。
バックアップパスワード設定
中央の「+」をタップ。
初回なら「SECURE BACKUPS(安全なバックアップ)」表示がでるので、パスワードを設定していこう。
パスワードに不満があるなら、せめて底上げしておこう。
すると、QR読み取り選択が出現するので次へ進む。
QRコード読み取り(スキャン)
2段階認証のアカウントを追加できる表示がでているので、「SCAN QR CODE(スキャンQRコード)」をタップしQRコードを読み込もう。
でていなければ右上の「︙」をタップし、「Add Account(アカウント追加)」を選択。
今後はこの動作で追加していく。
読み取るとロゴ(アイコン)と名前を付けられる。
「複数同じアカウントを持っていても判別できる名前」を付けよう。
初回やキリの良い登録数になると「シェアしてください表示」がでる。
シークレットキー読み取り(手動入力)
手動入力が面倒ならAndroid専用Google レンズ、iOSはSafariに画面のQRコードを読み取る機能があるのでオススメ。
参考どうやってアクセスする? iPhoneに表示中のQRコードをカメラで撮らずに読み取るワザ | できるネット
それ以外は「︙」をタップして「Add Account(アカウント追加)」→ 2段階認証のアカウントを追加する表示の下にある「ENTER KEY MANUALLY(手動でキー入力)」をタップ。
「このような文字列だよ」と例を表示されたら、コピーしたシークレットキーを貼り付けよう。
シークレットキーのほとんどはQRコードの近くに「非常に長い文字列」が表示されているか、「Secret Key(シークレットキー)」・「別の方法で設定する」的な文言の場所にあるはずだ。
あとはスキャンと同じようにACCOUNT NAME(サービス名)に「複数同じアカウントを持っていても判別できる名前」を付けよう。
ロゴ・名前・デザイン変更と削除
「長押し」するとロゴ・名前変更ができる「ペンマーク」と、削除の「ゴミ箱」が出現する。
後は変更・削除するだけだ。
削除しても48時間はAuthyに残り、「Settings(設定)」→「ACCOUNTS(アカウント)」→「復元したい項目」→「Restore(復元)」をタップして復元できる。
デザインの変更は「︙」の「隣にあるマーク」をタップすると、タイル型からリスト型に変更可能。
リスト型も同じように「長押し」すると、ロゴ・名前変更・削除ができる。
セキュリティ設定
4タップくらいで設定できるので、とりあえずやっておこう。
アプリケーションロック
4桁のPINかiPhoneならTouch IDで指紋認証を設定でき、iPhoneではないのでPINの説明をするが、場所は同じはずだ。
「Settings(設定)」→「MY ACCOUNT(マイアカウント)」の「App Protection(アプリの保護)」をタップして、電話番号や誕生日を避けたスマホロックとは関連性のない4桁を付けよう。
設定が終わると「設定解除と今のPINを変更する画面」になり、今は用がないので無視。
PINの強化方法も以下の記事を参考にして強化されたし。
複数端末許可・削除
端末をこれ以上登録させたくなかったり不要になった端末は削除することができるが、「Allow multi-device(マルチデバイスを許可)」をOFFにしたら18時間くらいONにできなかった。
「Settings(設定)」→「DEVICES(端末)」の「Allow multi-device(マルチデバイスを許可)」にこの項目があり、基本的にはONのままでいい。
ちなみに、複数端末を無効化した状態で登録すると、以下のようなエラーがでて登録不可。
一応設定を解除できる手段が用意されているが、電話番号・SMS番号が必要で、復帰に24~96時間かかることを覚えておこう。
そうするとアプリの設定がすべて解除され、最初からアプリを使える状態になるらしい。
当然、バックアップをしていなければ何も残らず絶望する。
公式サイトAuthyアカウント復元(英語)
次に、不要な端末を確認しよう。
「This Device(この端末)」は接続中の端末なので、「Your Devices(他のあなたの端末)」をタップ。
「Your」の方だぞ。
これで不要な端末を削除できたはずだ。
複数端末で使用する:機種変更や紛失用
同じように別の端末でアプリをインストールし、最初に使用していた電話番号(SMS番号)を入力すると、PHONE CALL(音声:紛失時向け)・SMS(紛失時向け)・「USE EXISTING DEVICE(既存のデバイスを使用する)」が出現するのでタップ。
USE EXISTING DEVICE(既存のデバイスを使用する)の場合、「元々使用していた端末」のステータスバーに項目が出現(出ないかも)、タップすると「新しい端末を許可しますか?」と聞いてくるので、「ACCEPT(受諾)」を選択して許可 →「OK」(小文字でも可)と入力してOK!
すると最後に「Success(成功)」表示がでてくるので、OKを押すと別の端末でも同じワンタイムパスワードを使えるようになる。
ここからは「バックアップパスワードを設定していたとき」の画面になる。
以下のようにワンタイムパスワードがきちんと暗号化された状態だ。
何でもいいので項目をタップすると、「バックアップパスワードで設定したパスワードを入力して」と言われるので、入力するとすべての暗号化が解除され正常に使えるようになる。
セキュリティと注意力を高める
2段階認証設定で「バックアップコードやシークレットキーの保存場所」に迷っているなら、メモも暗号化されるパスワード管理ソフトを導入しよう。もちろん無料だ。
当サイトはパスワード管理ソフトの紹介に自信を持っているので、是非一読されたし。
クラウドストレージや端末丸ごと暗号化はこちらがオススメ。
そもそも紛失したら終わりなので、紛失時の対応力も向上させよう。
コメント
ぷっぷさん、早速のご回答ありがとうございました。
【リカバリーパスワード】は、流石に紙ベースなどで保管しておかないといけないということ。
コレ以外は認識通りです∩(・∀・∩
の部分ですが、
リカバリーパスワード(リカバリーコード&各種パスワード)と思わせてしまい。すみませんでした。
→リカバリーコードと記載すべきところ、間違ってしまいました。
⚫️文章の中で、キーワード(コードとか、パスワードとか)の使い方をミスすると、IT系の会話はとても、わかりにくくなるんですね。
ぷっぷ様の記事は、そんなミスもなく、本当にわかりやすいです。
脱帽です。
心より応援しています。
ありがとうございました。
ありがとうございます、やる気の源になります∩(・∀・∩
ぷぅぷさま。数々の細かい質問にすべて丁寧に回答して頂き、ありがとうございます!!
感謝しています。
最後に自分なりにポイントをまとめてみました。
<Bitwarden>
①マスターパスワードは、全てにおいて一番重要なパスワード。
②リカバリーコード(32桁)は、Bitwardenの2段階認証を解除するもの。携帯端末の紛失時・破損時に使用。
<Authy>
③バックアップパスワードは、携帯端末の紛失時・破損時に復元が可能(つまり、新しい端末に情報を引き継ぎできる)。
●僕は、上記①と③を頭の中に入れてます。
よって、携帯端末紛失時は、新しい端末は、
1.BitwardenアプリとAuthyアプリをダウンロード
2.Authyアプリを上記③バックアップパスワードで新端末に復元。
3.Bitwardenアプリに上記①マスターパスワードでログイン可能(2段階認証アプリあるのでログイン可能)
4.念のため、Bitwardenアプリの登録端末から、紛失・破損した旧端末を削除しておく
とうい流れになると思いました。
●ただ、上記③バックアップパスワードを忘れてしまった場合は、
1.Bitwardenアプリをダウンロード
2.上記②リカバリパスワード(32桁)を使って、Bitwadenの2段階認証を解除する
3.Bitwardenアプリに上記①マスターパスワードでログイン可能(2段階認証が解除されているので)
4.念のため、Bitwardenアプリの登録端末から、紛失・破損した旧端末を削除しておく
5.ここで、Authyアプリを再度取得して、Bitwardenに登録している上記③バックアップパスワードを利用して、Authyを新しい端末に復元する
という流れになると思いました。
ここでの、ポイント一つ目は、ぷっぷ様のおっしゃる通り、上記③バックアップパスワードをBitwardenに登録しておくことですね。
そして、ポイント二つ目は、上記②リカバリーパスワードは、流石に紙ベースなどで保管しておかないといけないということ。
●結論として
Bitwardenの①マスターパスワードと、Authyの③バックアップパスワードを頭の中に、ちゃんとインプットしておけば、Bitwardenの②リカバリーパスワードは極論全く必要ないということだと思いました。
ぷっぷさま、以上の僕の結論は、合ってますか?
何度も何度もすみません。
何卒、ご回答よろしくお願い致します。
コレ以外は認識通りです∩(・∀・∩
リカバリーコード単体に限り、紙での保管で問題ありません(これだけではただの文字列にしかならない)。
もちろん他の方法、私でいうなら手元用のバックアップKeePass(パスワード管理ソフト)に入れていたり、色々方法を残しています。
あとは補足として、Authyのバックアップパスワードはしょっちゅう入れるものでもないから、おそらく忘れます 笑
こちらも「バックアップパスワードが流出してもそれだけでは何もできないシリーズ」なので、紙でもいいです。
電話番号がバレても、本人確認のために電話番号が受信できる端末が手元にないとバックアップパスワード入力画面に行けないみたいですし、こちらもそんなに恐れるレベルじゃないパスワードとなっております。
ぷっぷさまへ
ご親切に、ご回答ありがとうございます!!
本当に感謝です!
ご回答頂いた内容に関して、僕がちゃんと理解できているか、重ねての確認があります。
よろしくお願いします。
質問①
bitwardenでパスワードを任意作成して、authyのバックアップパスワードを作成可能であると理解できました。ありがとうございます。
【authyを設定しているうちに、何か書くことがあれば、そのメモ欄に書く】
→そのメモ欄とは、bitwardenの中の暗号化できる保管庫みたいな中に保存するという意味ですか?
質問②
【楽にはなりますが、Bitwardenにログインする際、2段階認証をBitwardenにかけちゃうとAuthyがないので詰みます。なので、バックアップパスワードは比較的覚えておくもの、もしくはUSBメモリか何かオフラインで。】
→平たく言うと、authyのバックアップパスワードは、自分でしっかりしたパスワードを考えた方が良い!!ということですよね?
【で手元にBitwardenの2段階認証リカバリーコードのメモや、】
→このリカバリーコードとは、bitwardenに2段階認証を再設定するために、bitwarden上で必要なものですか?
【Bitwardenのバックアップそのものを残しておくといいです】
→ここが、特に分からなくて、すみません。bitwardenのバックアップをオフラインで残すということですか?
クラウドに残っているのではないですか?
後の文脈から、bitwardenのバックアップとは、bitwardenのリカバリーコードと同じ意味と捉えたのですが、そういうことですか?
※セキュリティの本質・キーワード・アプリ構造をしっかりできていないので、理解度低くてすみません。
【※リカバリーコードのメモにリカバリーコード以外の情報を書くことは禁止。】
→これは、bitwardenのリカバリコードがあれば、全部のパスワードがバレてしまうので、類推されるような痕跡をメモに一切残すなよ。ということですよね?
質問③
【なるほど、ちょっと明日試してみます。
明日のぷっぷメモ(APM):AndroidにAuthyインストール → iPhone電源Off → AndroidのAuthyに今までの2段階認証を呼び起こせるか】
→お忙しいところすみません。仮想実験までしていただくなんて、とっても、ご親切な対応頂き、恐縮です。
・iPhone電源offが、僕の旧端末iPhoneを紛失したと仮定したもの。と理解しました。
・そして、Androidが、僕の新端末iPhoneですよね?
・そこでのポイントは電話番号による音声か、SMSを利用したもので、Androidで呼び起こす方法だと思っています。
・【僕に当てはめた仮説の仮説】docomoで、旧端末iPhoneから、新端末iPhoneに電話切り替えたとしても、simカード(SIMフリーではない)は旧端末iPhoneに残っているし、、、、、とかなんとか考えていると。docomoショップで新端末にデータ移行を無理やりしてもらわないとな、、、、。
とか、考えすぎて、わけわからなくなったきました。
すみません。仮定に仮定を上乗せして、先走ってしまいました。
⚫️実際の試行の結果、楽しみにしています。
またまた、長文となりましたが、よろしくお願いします。
m(_ _)m
試したら普通に英語で書いてありました(´ε`;)
詳細複数端末で使用する:機種変更や紛失用
わかりにくかったのでさらに補足を追加。
簡単に言うと既存のデバイスがないなら音声かSMSでコードを受信する必要があり、それで本人確認→端末連携許可→バックアップパスワードの入力で2段階認証コードが復号化され閲覧可能という流れです。
ちなみに、本人確認が済んだ段階でスキップしたところ(英語読めないし)、2段階認証コードすべてがすでに同期済み(暗号化されて閲覧はできない)だったため、本人確認以降が英語で読めなくても詰まないようになってるみたいです。
これは親切設計。
紛失した場合はSMS・音声通話を受信できる端末が必要なので、携帯ショップ不可避ではあります(詰んではいない、登録情報で本人確認→再度使えるようになるはず)。
Bitwardenへアカウント情報を登録する際、下の方にメモ欄があるのでそこに書き込むという意味です。
それでもいいし、私みたい2つパスワード管理ソフトを使える端末(パソコン・スマホなど)があるのであれば、両方にAuthyのバックアップパスワードを入れることで片方を紛失してもAuthyは使えます。
そうですね。
2段階認証コード発行アプリ紛失時、Bitwardenにログインする際にコードがないため、詰まないようにするリカバリーコードです。
サービス提供者側からは閲覧できないため(暗号化済み)、残っているようで残っていません(゚~゚o)
Bitwardenが何かやらかしたり、サービス停止や自然災害で大変な時になった時ように、手元(オフライン)に残しておくといいですよ的な話ですね。
なんかちがーう( Ꙭ)
といった感じなので、メールアドレスは書いても問題ないですが、マスターパスワードとリカバリーコードを同じ紙に書くのは禁止でお願いします。
※マスターパスワードは頭の中。
うーんこんな感じ?(´ε`;)
ぷっぷ様へ
丁寧・簡潔・理解しやすい・きめの細かい情報提供ありがとうございます。
authyについて、質問があります。よろしくお願いいたします。
【前提条件】
いまiPhoneを使用しています。その端末以外に使用している端末は無い状態です。
パスワード管理アプリは、bitwardenを使用予定です。
また、2段階認証アプリは、authyを使用予定です。
質問①
authyに設定するバックアップパスワードは、任意に考えて入力するよりも、bitwarden等のパスワード生成アプリを利用した強固なパスワードにすると、より良いですか?
そもそも、authyのバックアップパスワードに関して、bitwardenを活用したパスワード生成は可能でしょうか?
質問②
上記により、bitwarden に、authyのバックアップパスワードが保存されるため、スマホを1台を紛失した時に、復旧が楽になりますか?
具体的には、新しいiPhoneを購入→bitwardenをダウンロードして同期→authyをダウンロードして同期(バックアップパスワードは、bitwardenより入力)という流れで復旧可能ですか?
質問③
そもそも論なんですが、iPhoneの端末1台しか無いのに、そして更に、その端末を紛失してしまった場合に。
新しく買ったiPhoneで、上記2段階認証アプリを導入して端末追加設定しようとすると、その際に紛失した旧端末iPhoneに、「新しい端末を追加しますか?」と表示されるはずですが、その旧端末をタップすることができないので、上記質問②が無理なのでは無いですか?
つまり質問③は、質問②の前段階の疑問であり、いびつな質問になっておりますが、ご容赦下さいませ。
どうか、上記質問への回答をよろしくお願いいたします。
m(_ _)m
親切がヌケテイマスヨ( Ꙭ)
あー、記事中にパスワード自作を促していたんでした(´ε`;) ※詰む恐れ回避用
詰む恐れが回避できるのであれば、Bitwardenに生成させたものをお使いください(単純に簡単だから)。
例としてまず、BitwardenでAuthy用情報を適当に作成、その時生成されたパスワードをバックアップパスワードに設定、Authyを設定しているうちに何か書くことがあればそのメモ欄に書くという流れです。
楽にはなりますが、Bitwardenにログインする際、2段階認証をBitwardenにかけちゃうとAuthyがないので詰みます。
なので、バックアップパスワードは比較的覚えておくもの、もしくはUSBメモリか何かオフラインで手元にBitwardenの2段階認証リカバリーコードのメモや、Bitwardenのバックアップそのものを残しておくといいです。
最近Bitwardenのバックアップは暗号化したまま出るようになりましたし、ちょっと楽になったかも。
※リカバリーコードのメモにリカバリーコード以外の情報を書くことは禁止。
可能です∩(・∀・∩
くれぐれも旧端末を新端末購入時すぐに、廃棄へまわさないように!
スマホ乗り換えた時に「この記事の方法古いけどできるかなー」って思ったら、ちゃんとできました!
昔の私えらい
なるほど、ちょっと明日試してみます。
明日のぷっぷメモ(APM):AndroidにAuthyインストール → iPhone電源Off → AndroidのAuthyに今までの2段階認証を呼び起こせるか
最近のスマホ決済口座と銀行口座の問題で、2段階認証を勉強し直している者です。
現在、いろいろなサービスでメールで2段階認証を使っていますが、要素を変えようと考えています。
恥ずかしながらブログ記事にしています。
https://vegam57.livedoor.blog/archives/7127412.html
この記事参考になりました。
基本的な事ですが、一点ご教示賜りたくコメントで質問させていただきます。
こういう各認証アプリが対応しているサービスが一覧比較になっているようなページをご存じないでしょうか?
各認証アプリの当該ページでも結構です。検索下手でビンゴがでません。
私が使っているサービスがカバーされているものが多い認証アプリを使いたいと思っています。
ちょっと話を理解できていない可能性がありますが、Authyが一番対応されていて、「たまにSMSしか対応していないサービスはSMSで」という使い方になります(残念ながら100%じゃない)。
割合でいうと
かな?SMSはセキュリティ的問題ではなく電話番号変更時がとにかくきついので、これから設定する場合はパスワード管理ソフトの検索に引っかかるよう、「SMS認証を使ったサービスには電話番号をメモ欄に入力」しておきましょう。
電話番号変更時、検索をかけてそのサービスの電話番号を変えるだけですみます。
メール認証はあるだけマシですし無駄アプリ不要なので許しますが、銀行系無駄アプリはやりすぎセキュリティで許されません。
とりあえず、二段階認証アプリで一番有名なのがGoogleAuthenticator(認証システム)で、こちらはAuthenticatorやMicrosoft、というか基本的な二段階認証で売り出しているアプリではGoogleAuthenticatorとしか書かれていなくても使えるため、Authyですべて対応可能。
また、GoogleAuthenticatorは使えないのにAuthyしか使えないサービスが全体の1%未満でたまーにあります(100%海外のみ)。
おそらく海外でAuthyが流行ったときの名残(多分先駆者ボーナス)でAuthyしか対応していないものがあるといった感じ。
なので、やりすぎセキュリティではOSSの二段階認証やMicrosoftAuthenticatorは勧めず、今後もAuthyを推奨させていく感じです∩(・∀・∩
ご丁寧な情報、ありがとうございます。
大変参考になりました。
今後とも益々のやりすぎを陰ながら応援させていただきます。
更新スピードひどすぎなので、ほどほどセキュリティにしようかな(゚~゚o)