二段階認証用アプリ スマホ機種変更してもスムーズに移行・できる 「Authy 」のススメ

GoogleのAuthenticator(認証システム)は、機種変更した時に、かなり面倒!!
そんなに頻繁に起こることではないにしても面倒。代わりに、クラウド同期しておける同じ認証システムである Authy を導入し始めたので備忘!!

前提として、
メイン機の他に、万が一メイン機に何かあったときによう(例えば紛失など)に、もうSIM契約を終了しているサブ機にもGoogle Authenticatorを利用しています。

二段階認証(二要素認証)とは

二段階認証や二要素認証の違いや詳細は皆様の詳しい記事に譲るとして、
簡単にいうと、
通常の「IDとパスワード」に加えて、さらにSMSや認証アプリ・指紋など、さらにもう一段階認証を必要として、セキュリティ向上を図る というものです。
下記の詳しく簡単に記載されている記事を引用します。

一般的には、一段階目ではIDとパスワードによる認証を要求され、二段階目はSMSかメールで送られてくる認証コードを認証プロセスの画面に入力することで認証が完了する、あるいはあらかじめ登録しているメールアドレスにメールが届き、そこにあるリンクにアクセスすることで認証が完了する、という手法が多いです

それに対して二要素認証は、以下の認証の「3要素」から2つが揃っていないと認証が完了しない仕組みのことを言います。

本人だけが知っていること=記憶(Something you know)
例)パスワード、パスフレーズ、PIN(Personal Identification Number)など

本人だけが所有しているもの=所持(Something you have)
例)ICカードやスマートカード、ワンタイムパスワードのトークンなど

本人自身の特性=生体情報(Something you are)
例)指紋、音声、虹彩、顔など

二要素認証はかなり前から利用されており、銀行のATMは、キャッシュカードは本人だけが所有しているもの、暗証番号は本人だけが知っていること、この二要素が揃わないとお金を引き出すことはできないので、二要素認証です。

引用元:https://ftsafe.co.jp/blog/two-step-authentication/

とはいえ、ほとんどの人が設定していないというのが実情で、何かが起こってからでは遅い というものとなります。
デメリットとして

  • 紛失や盗難時に、二段階認証できなくなる ログインできなくなる
  • 機種変更時に、2段階認証を再度設定する必要がある

GoogleのAuthenticatorは機種変更時に面倒

 

インターフェイスとして、コードを一覧できるのでみやすいと感じていました。
Google Authenticator(認証システム)は、機種変更した時に、すべての登録しているアカウント全てのQRコードを読み直して、登録し直さなければいけませんでした。
万が一の時に、1つのデバイスだけでなく、複数デバイスに設定しています。なので、登録し直す作業が2倍になるので、もううんざり。
メリットがあるとした、後述のようなクラウドシステムに保存しない ということでしょうか。

1Passwordにも二段階認証システムが搭載されていた!

パスワード管理している1Passwordにも、二段階認証システムが搭載されていて、かつDropboxでデバイス間共有できるので、機種変更時にも使い勝手が良く、先述の登録し直し という面倒な作業もクリア!
と思いきや、如何せん、「パスワード保存庫」と「二段階認証システム」を同じアプリ内に入れておく、つまり結局は1Passwordを突破されると、二段階の役割を果たせない仕組みに抵抗を感じ、Authyの導入を検討しました。

下記のように、1Passowrd自体も警告を出しています。

If you would like to turn a site’s offering of TOTP into true two-factor security, you should not store your TOTP secret in 1Password (or in anything that will synchronize across systems). Furthermore, you should not use the regular password for the site on the same device that holds your TOTP secret.

引用元:https://blog.1password.com/totp-for-1password-users/

Authyは、その二つの懸念を解消している

「Authy」をスマホで使う方法

英語製のアプリですが、ほとんど迷う場所はありません。

初期設定

電話番号とメールアドレスを入力

 

先ずはアプリのアカウントを作成するために、認証方法を選びます。
SMSが手っ取り早いです。

送られてきた認証コードを入力

で、アカウント作成完了。

情報をクラウドにバックアップ共有するセッティング

ギアマークをタップし、Accountsを選びます。

共有情報をクラウドへ置いておくための設定で、これでデバイス間で共有が可能となります。
「Authenticator Backups」をオンにする。

 

バックアップ用のマスターパスワードを入力します。

 

確認のため、再度同じマスターパスワードを入力

 

ここで求められるパスワードは、クラウドを介してデータを共有するのマスターパスワードを決定します。
このパスワードで、各デバイスにてバックアップ共有を同期できるようになります。

これで、他デバイスでトークン(6桁の番号)を共有できる準備が整いました。

セキュリティ設定

次にアプリ自体のセキュリティ設定などを行います。

アプリ自体にパスコード(PIN)が必要か、Touch IDまたはFace IDを有効にするか など。

  • App Protection/アプリ設定の保護
  • Touch IDFace ID Protection/アプリを起動する際のTouch IDFace ID)を使うか
  • Protect Entire App/アプリ起動時にパスコード(PIN)を使うか

各アプリでQRコードを読み取りを行う

GoogleやDropboxなどの二段階認証のバーコードを読み取ります。
これは、Google Authenticatorと変わらず、アプリ・サービスごとに行います。
ただ、この数が多ければ多いほど、機種変更時などが大変だった

サブ機などの他デバイスで設定を同期

一連の設定を他デバイスで同期できるように設定していきます。
ちなみに、セキュリティ設定は同期されないので、各デバイスで行う必要があります。

最初のセットアップ時と同じように、電話番号を入力

Use Existing device(今あるデバイスを使う) を選びます。

すると、サブ機では、「承認を待て」の画面に。

メイン機では、「承認するか?」の画面となるので、「Accept」
すると、さらに確認のため「YES」と入力するように促されます。

 

再び、サブ機に戻って、通知を許可。
先程マスター機で入力したバックアップ用のマスターパスワードを入力し、同期するためのロックを解除します。

 

紛失した時には・・・落とし穴がありました

どれかのデバイスが生きていれば、強制的に紛失したデバイスを同期対象から外すことが出来ます。
Deviceから、紛失したデバイス名を選び、「Remove Device」するだけ。

と思ったら、
メイン機からサブ機を削除してみても、トークン設定は生きたまま。。
マスターパスワードを変更しても、クラウドのマークが非アクティブになっているように見えますが、同じトークンコードが表示されてしまいます。
これは、アプリのバグでしょうか。。。
その前に、アプリ自体のセキュリティ設定を行っておけば、トークン表示画面に行き着くのが難しいけれど、これはいただけない。。。

Authyの良いところ・悪いところ

良いところ

  • 機種変更・紛失しても先述の方法ですぐに同期ができる

悪いところ

  • クラウド共有なところ(なんとなく不安)
  • 紛失した時、遠隔でデバイスの設定を削除できるかと思いきや、ダメでした。Google Authenticatorでも、紛失したら・・・という問題は変わりませんが、”いける風”でできないのは残念。アップデートに期待しましょう。

けれど、当初の機種変更時の複数デバイスでの簡単な共有が実現できたので、これはこれで良しとします。
また、共有できる機能を持ちながら、代替アプリを見つけたら、改めてレビューしたいと思います。
Starling 2FAというアプリがありましたが、Authyと同じインターフェイス(色が違うだけ)で、電話番号登録も同期されていました。。