カテゴリー

最新記事

2段階認証にはMicrosoft Authenticatorがオススメ Google 認証システムはバックアップ不可

2021年9月12日

様々なサービスで推奨される2段階認証プロセス、Google 認証システムを利用している方が多いと思います。このアプリ、機種変更時はアカウント移行ができるのですが故障時、紛失時は認証情報を復旧できません。安全のためなのかも知れませんが、いざという時不便なのも確か。ということで私はマイクロソフトの認証アプリに乗り換えました。

※2023年4月、Googleアカウントへのバックアップが可能になりました!ですがリスク分散を考えると私のおすすめはMicrosoft Authenticatorになります。

2段階認証についておさらい

今更ではありますが、2段階認証システムについて一応のおさらいです。2段階認証とは何らかの主にwebサービスにおいて自身のアカウントを保護するための仕組みの一つです。通常、ログインにはIDとパスワードが必要とされますよね。これがいわば1段階認証です。そこをクリアした際にもう一つ認証プロセスを設けたため2段階認証と呼ばれます。

大体こんな感じで記憶しておけばよいかと

どうして2段階認証が必要か、というのは色々理由が有ります。まず、IDは通常メールアドレスやそれに基づいたものが多いですよね。メールアドレスさえわかれば結構なwebサービスのIDが判明してしまいます。その人のことを知っていれば、関連する情報(SNSや関連する個人情報)からパスワードを類推したり、場合によってはブルートフォース(総当たり)攻撃で単純なパスワードが判明してしまうリスクがあります。

万一GoogleやYahoo、Appleなどメールアカウントに対応するパスワードが漏れたら、そこに関連づけた全てのサービスでパスワードを変更されてしまいます。パスワードの使い回しなど論外です。さらに、自分が悪くなくてもサービス側からパスワードが漏洩してしまう可能性もあります。場合によっては他の個人情報も一緒に漏れてしまい、そっちのサービスでもさらに不正ログインされるという連鎖もおこりえます。恐ろしい・・・

従って、特に重要なアカウントには万一パスワードが流出、漏洩してもブロックできる仕組みが必要で、その手段がこの2段階認証なのです。2段階認証はサービス固有のものもありますが、かなりのサービスがRFC6238で定義されるタイムベースドワンタイムパスワード(TOTP: Time-Based One-Time Password Algorithm)を利用しています。最初にQRコード等で認証する機器とWebサービスの間で秘密鍵を共有しておき、それを現在時刻と組み合わせて6桁の数字が表示されることになります。つまり現在時刻が正確に判る機器がクライアントには必要で、多くの場合お持ちのスマートフォンということになります。

鉄板だと思っていたGoogle認証システム

私は当初、2段階認証といえばGoogle認証システムだと思っていました。実際に複数のアカウントの2段階認証としてGoogle認証システムを用いていて、何の不満も感じていませんでした。使えている限りは。

しかし昔のスマホ(Unihertz ATOM)が調子が悪くなってJelly2に変更するとき問題に気づきました。そう、Google認証システムにはバックアップ、復元という機能が無いんです。つまり前述のアカウントごとの公開鍵を保存する仕組みがないため、今持ってるスマホが起動しなくなったり復元出来なかった場合2段認証が不可能になります。

誤解がない用に書きますが、Google 認証システムでも機種変更は可能です。旧機種から新機種に秘密鍵情報を移すことは出来ます。通常時はこれで問題ないわけですが、私は他のGoogleのサービスと同様、当然全ての情報がバックアップされスマホを紛失しても保持されると思ってたのですごく驚きました。おそらくアプリの設計としてバックアップしてしまうことで2段階認証の情報ごと乗っ取られてしまうことを防ぐためなのではないかと思います。確かにそのほうが安全ではありますが、同時に不便でもあります。

Microsoft Authenticator機能は機能同等でバックアップが可能

そこで今回紹介するMicrosoft Authenticatorです。先程記載したように、バックアップできてしまうというのは漏洩リスクがあるともいえます。そういう意味で普段マイクロソフトのサービスにどっぷり使っていない皆さんこそ、このアプリを有効に利用できると思います。普段使いしていないサービスはログインする機会も減り、漏洩リスクも減ります。マイクロソフトアカウントはoutlook.jpですので普段のサービスとは根本的にIDが異なりますし、このメールアドレスを普段使用していなければ安全性も高まるというものです。(忘れないようにする必要はありますが)

Microsoft Authenticatorも先程のTOTPを使用しているため、基本的にはGoogle認証システムに対応するサービスは全て利用できます。私が利用しているのは

  • Microsoft
  • Twitter
  • Google
  • Amazon
  • Autodesk
  • Kickstarter
  • Nicehash

と言ったところです。私はSNSはあまりやってませんがメジャーどころの2段階認証は問題ないと思います。

さらにパスワード管理もできます

さらに、Microsoft Authenticatorはパスワード管理ソフトの側面も兼ね備えています。設定をしておくことでオートフィルプロバイダーとして動作し、ブラウザ上でのパスワード入力が簡単に行えるようになります。インポートも行う事ができ、たとえばChromeのパスワード等もインポートして管理することができるんです。もちろん、その他のパスワードマネージャーからもCSV形式でエクスポートが可能なら、インポートすることができます。なかなか高機能で素晴らしいと思いませんか?

PCからChromeで利用する場合は専用の拡張機能 Microsoft オートフィルをインストールしておく必要はありますが、無料で制限なく利用ができるため、有用性は高いと考えます。試すことにリスクはないので検討されてはいかがでしょうか?

今回も最後までお読みいただきありがとうございました!