【日本語解説】2段階認証アプリ「Duo Mobile」の使い方

Duo Mobileを使うセキュリティソフト・アプリ
この記事は約8分で読めます。

日本でまったく紹介されていないDuo Mobile(デュオモバイル)は、バックアップ先にiCloud・Google Driveを使うことができ、Authy(オーシー)と比べると自由だ。

ただ、バックアップ機能が思っていたものと違い(理由は後述)、エクスポートもできない。

結果、IIJ SmartKey(スマートキー)の下位互換という結論に至った。

仮にバックアップが正常なら、「Authyをやめる」と考えるほどのポテンシャルはある。

今後使えるようになるかもしれないので挑戦の記録は残すが、現状はAuthyかIIJ SmartKeyのどちらかを使うといい。

スポンサーリンク

ダウンロード・インストール

パソコンの方は「QRコード」を、スマホの方は「リンクにアクセス」してダウンロードしてこよう。

iOS Duo MobileのQRコード
Android Duo MobileのQRコード
Duo Mobile

Duo Mobile

Duo Security無料posted withアプリーチ

インストール完了後、開くと「Welcome to Duo Mobile(Duo Mobileへようこそ)」画面が出るので「Get Started(開始する)」をタップ。

開始する
スポンサーリンク

QRコード読み取り(スキャン)

開始するとQRコード読み取りが始まり、いきなり登録できる状態になる。

下にある「NO BARCODE?(バーコードないの?)」は次の章で紹介するので、とりあえず読み取ろう。

スキャンする

読み取りが成功するとDuo Mobileに登録されているアイコンを自動選択され、それ以外のものはすべて「3rd Party(第三者)」扱いになり、とりあえずGoogleアイコンにされる。

下の方「New Feature Available(利用可能な新機能)」表示がでているが、今は無視しよう。

今後はプラスからスキャンする

今後は上にある「+」からQRコードの読み取り(スキャン)と、次の章「シークレットキー」を入れることになる。

シークレットキーを入れる

カメラがおかしかったり、スマホから2段階認証の設定をすると「画面のQRコードを読み取れない」。

そんなときはだいたいQRコードの近くに「非常に長い文字列」が表示されているか、「Secret key(シークレットキー)」・「別の方法で設定する」的な文言が書いてあるはずだ。

シークレットキーとはこんなの

シークレットキーをコピーしたら「+」をタップ →「NO BARCODE?(バーコードないの?)」をタップ。

スキャンへ進む
NOBARCODEをタップ

①「該当のサービスアイコンを選択、なければ適当なアイコンを選択」→ ②Account(アカウント)に「複数同じアカウントを持っていても判別できる名前」→ ③Keyに「Activation code(アクティベーションコード)」ことシークレットキーをいれる。

アカウント追加選択
シークレットキー入力
アカウントの名前にメールアドレスやユーザーIDなどを書いてしまうと、万が一Duo Mobileに侵入された際に残りはパスワードだけになってしまうので、なるべくアカウント名でわかるようにしよう。
「Duo Security Enabled Account(デュオセキュリティ対応アカウント)」は有料機能なので使用不可。

アイコンがなければ好きなアイコンを目印として使うか、アイコンのない「Other(その他)」を使おう。

スポンサーリンク

使い方

確認したい項目を選択し、番号をタップするとコピーされるのであとは貼り付けするだけだ。

下にある「ABOUT PASSCODES(パスコードについて)」は、たった今青枠で説明したことが書かれているので無視。

タップしてコピーするだけ

編集・削除

編集・削除したい項目を「長押し」すると、「Edit Account(アカウント編集)」か「Remove Account(アカウント削除)」を選択できる。

アカウントを長押し
編集をタップ
編集して決定
削除するとサービスにログインできなくなるので、先に該当のサービスの2段階認証を解除しておくこと。

並び替え

右上にある「︙」マークをタップして「Reorder Accounts(アカウントの並び替え)」へ進むと、並び替えできる。

並び替え
スポンサーリンク

バックアップを設定

冒頭でも述べたが、思っていたバックアップと違う。

詳しく説明すると、アカウント名とアイコンはバックアップされるが、「ワンタイムパスワードがバックアップされない」ので、そのサービスの2段階認証を登録しなおすか、自分で保存しておいたQRコードかシークレットキーを読み取りなおすことになる。

なぜこうなっているのかよくわからないが、挑戦の記録は残しておく。

登録したワンタイムパスワードたちを「Duo mobileとはまったく関係のないクラウドに保存」していこう。

右上にある①「︙」マークをタップして②「Settings(設定)」へ進み、③「Duo Restore(復元)」をタップ。

AndroidだとGoogle Driveしか選べないので、iOSではiCloud固定かもしれない。
右上の縦三点リーダーをタップ
設定へ進む
復元に進む

次に、「Connect to Google Drive(Google ドライブに接続する)」をタップ。

Android端末と連携しているGoogleアカウントが出現するので、今使っているアカウントにするか、「アカウントを追加」のどちらかを選択。

トグルをタップ
アカウントを選択

Googleからリクエストがどうのこうのいわれるので許可しよう。

リクエストを許可

「You’re backed up!(あなたはバックアップされました!)」とでれば完了。

バックアップ成功

この状態で新たに1つ登録したら、すぐにバックアップを確認できた。

一応バックアップファイルはGoogle Driveの「アプリの管理」に保存されているようで、中身を確認できない仕様のようだ。

アプリの管理

連携している端末が必須なので、セキュリティ的に気にする必要はないのかも。

そもそも、ワンタイムパスワードが流出しても不正アクセスのしようがない。

バックアップを復元

他の端末でアプリをインストール後、今度は下のUse Duo before?(前のDuoを使用しますか?)の「GET MY ACCOUNT BACK(私のアカウントを元に戻す)」をタップ。

アカウントをもとに戻す

Duo Restoreの画面になり、ちょっと待つとGoogleアカウントを選択できる表示になるので、バックアップを保存していたアカウントを選択。

トグルをタップ
アカウントを選択

13しか登録していないのでわからないが、5秒ほど待たされると「Accounts Restored(アカウントの復元)」表示がでて完了する。

復元したよ

前の画面に戻って「RECONNECT(再接続)」をおこない、1つずつQRコードや保存しておいたシークレットキーを読み込もう。

スキャンかコード入力

復元できるか試したこと

  • Duo mobileをAndroidから消さずに、別の端末でバックアップを読み込む
  • ※1.Duo mobileをAndroidから消し、別の端末でバックアップを読み込む
  • 1つだけQRコードを読み込み、他も解除されるか試す
  • Webから無料アカウントを作成し、連携させて上記のことをもう一度確認した

※1.Androidはアンインストールするとすべて消えてしまう挙動らしいので確認してみた。

参考Will Duo Mobile accounts be saved on my device if I delete the app?

結局アイコンと名前しかバックアップされず、アカウント作成をした意味はなさそうだ。

ヘルプの解釈がすごく難しいが、一応「個別に再有効化する必要があります」という仕様っぽい記述はある。

For third-party accounts, you’ll need to re-activate those accounts individually. If you have a secure physical location to store that information, you may want to capture the QR/barcode data for that account when adding it to Duo Mobile.

引用:Can I back up Duo Mobile?

第三者のアカウントの場合は、これらのアカウントを個別に再有効化する必要があります。 その情報を保管するための安全な物理的な場所がある場合は、そのアカウントのQR /バーコードデータをDuo Mobileに追加する際にそのデータをキャプチャすることができます。

サードパーティ製のものはバックアップされない仕様なのかもしれない。
スポンサーリンク

セキュリティと注意力を高める

2段階認証設定で「バックアップコードやシークレットキーの保存場所」に迷っているなら、メモも暗号化されるパスワード管理ソフトを導入しよう。もちろん無料だ。

当サイトはパスワード管理ソフトの紹介に自信を持っているので、是非一読されたし。

クラウドストレージや端末丸ごと暗号化はこちらがオススメ。

そもそも紛失したら終わりなので、紛失時の対応力も向上させよう。

なくしたAndroidスマホを「端末を探す」でロック・消去
あなたのスマホでも、友達と仕事の情報を所持していることを自覚し、スマホを捨てる覚悟を持とう。ブラウザ版もあるので、アプリはなくてもOK!

一番防ぎにくい人間の脆弱性(弱点)を鍛える「セキュリティ意識向上修行」は以下参照。

【S】回避できた?宅ふぁいる便の情報漏洩事例の対策具体例
【実践】Googleのフィッシング詐欺対策で、直前に悟る能力の習得
【合法】正しく偽名・偽個人情報を入力して本名を守る
電車内の覗き見・盗み見対策、モロ見えデンジャラス
【三種の極意】パスワードの付け方テクニック集

コメント

タイトルとURLをコピーしました