パスワード管理アプリの1Passwordがもう一歩進んだ便利さを提供してくれるようになりました。
1Passwordがどのようなアプリかというのをさらっと復習しておくと、
・IDやパスワードを管理できる
・パスワードを生成してくれる
・ブラウザなどのExtensionから呼び出すことでIDとパスワードを自動入力してくれる
・TouchIDを使い指紋認証だけで呼び出せる
管理とログインを容易にしてくれるって感じですね。
今回それに2段階認証の対応が加わりました。これはPro版の新機能です。
1Password
無料
販売: AgileBits Inc.
iPhone/iPadに対応
Pro版にするにはアプリ内科金1,000円が必要です。
2段階認証とは
パスワード流出事件は後を絶ちません。
ユーザーがどんなに気を付けていても、流出してしまったら悪用されてないことを祈るくらいしかできない。
そんな受け身ではなく積極的に悪用を防ぐ上で有効なのが2段階認証という仕組み。
パスワード以外にもうひとつ、本人以外は知りえない情報で認証をしてセキュリティを向上させようという試み。
最近ではゆうちょ銀行も導入したワンタイムパスワード生成機(トークンとも呼ばれます)。
これは60秒ごとに新しい数字(パスワード)を生成するための機械で、もしその数字が外部に漏れたとしても有効期限がたったの60秒ですから第三者に使われる可能性が極めて低くなります。
要するにIDとパスワードがばれても、トークンを持っていない人には使えないよってことです。
2段階認証にもいろいろ種類はあるんですが、今回は1Passwordが対応したTOTP(Time-based One-time Password)と呼ばれるものについて書こうと思います。
ワンタイムパスワード生成をアプリで行う
トークンっていうのは非常に有用な仕組みではあると思うんですが、銀行のようにゆうちょとみずほと三井住友と……ってそれぞれ専用の機械を使い分けるのは不便で仕方ない。
大手のネットサービスではTOTPという規格を採用しているところが多く、それらは1つのアプリにまとめてしまえます。
GoogleやMicrosoft、Evernote、Dropbox、Yahoo!Japanなどが導入しているものですね。
TOTP対応サービスであればすべてGoogle Authenticatorで使えます。
Google Authenticator
無料
販売: Google, Inc.
これはワンタイムパスワードを生成する専用アプリで、前述の機械と同様に新しい数字を発行してくれます。これは30秒ごと。
専用の機械がなくてもスマホだけで完結できるのがお手軽でよいです。
Googleが作ったアプリなので安心感もありますしね。
複数のトークンがアプリを使えば1つにまとまる。うん便利です。
1Passwordで何が変わるか
2段階認証を使ったサービスにログインする際に、パスワードは1Password、確認コードはGoogle Authenticatorと、2つのアプリを開かなければなりませんでした。
それが今回1PasswordがTOTPに対応したことで、1つのアプリでログインが完結するようになったわけです。
これがでかいです。
ログイン情報がバラバラに記録されているより、1か所にまとまっているほうが便利ですよね。
しかもGoogle Authenticatorが端末間のデータ引継ぎができなかったのに対して、1Passwordは同期できる端末ですべて引き継がれます。(いまはまだiOSとWindowsだけですけどね)
複数の端末を使っている人、いくつものアプリを使い分けたくない人にとってとても便利なものになりました。
その他のトークンアプリとの比較
代表的なものを軽く比較してみます。
Google Authenticator
メリット: 無料、登録作業した端末でしか動作しない
デメリット: 端末間の引き継ぎなし、ロックなし
2段階認証設定時に登録した端末以外では動かないのは安心ですが、それが引き継ぎできないのはデメリットでもあります。
その端末を無くしたらめんどいです。
設定時に複数端末で同じQRコードを使い登録すれば複数台でも使えますが、あとから1台追加したいとなるとまた作業をやり直すことになります。
あと、トークンにロックなんて必要ないって考えなんでしょうけど、それは確かにトークンには必要ないです。
でもサービス名とIDが一覧表示されるのであまり無防備にはしたくないですね。
Authy
メリット: 無料、TouchID対応、複数端末での同期可能、BluetoothでMacとの連携あり
デメリット: IDが長いと省略表示される
Authy
無料
販売: Authy Inc.
iPhone/iPadに対応
私はGoogle Authenticatorを使っていたんですけど、TouchIDと同期に惹かれてAuthyに乗り換えました。
EvernoteとかDropboxのアイコンが表示されて視認性はいいです。
メールアドレスがIDだと途中までしか表示されないので、似たようなアドレスをいくつも使い分けている人には向かないかも。
無料だしいいアプリです。
1Password
メリット: TouchID対応、パスワードと同じ場所で確認できる、端末間同期可能
デメリット: 有料(アプリ内課金が必要)
前述のとおり、同期ができること、パスワードとの一元管理ができるのがメリットです。
Proユーザーのみの機能なので使うには1,000円かかるのがネックではありますが、他にもできることを考えたら安いと思う。
Authyから乗り換えましたが一元管理できるのはやはり便利です。
まとめ
Appleの2段階認証はTOTPではないのでこのアプリは使えませんけれど、大手のしかも非常に大切な情報が詰まっているGoogleやEvernoteなどで利用が可能です。
GoogleやTwitter、FacebookはoAUTHでの認証をよく使うだけに乗っ取られたら目も当てられませんから、めんどくさがらずに設定すべきです。
ちなみにWordpress.comでも使えるようですし、レンタルサーバーでWordpressを運用している方にはTwo Factor Authというプラグインがありますので是非チェックを。
2段階認証の恩恵というのはパスワードが漏えいした時のアカウント保護がメイン。
2つの認証情報を1Passwordにまとめておくと危ないんじゃって思うかもしれませんけど、それが問題になるのは1Passwordのデータべースが盗まれた上にマスターパスワードも盗まれた、なんてよっぽどな状態です。
もしそういうリスクまで心配であればAuthyとの併用がよろしいかと。
ログインはちょっと面倒になるけどセキュリティは格段に向上します。
Evernoteのアカウントが乗っ取られるような取り返しのつかない事態を避けるために、必ず設定しましょうね。
ちなみにこの記事で書いているのは2段階認証のメリットであって、2要素認証ではありませんので混同しませんように。
【追記】
質問が複数来たので追記しておきますが、トークンアプリの乗り換えは対応サービスにログインし2段階認証設定で表示されるQRコードを各アカウントごとに再度読み込ませていく必要があります。
乗り換えはめんどくさいかもしれませんが、ワンタイムパスワードを生成するための秘密鍵を簡単に取り出せてしまっては困りますので、しょうがないです。
QRコードは毎回新しいのが作られるので新しいアプリで使うとすると古いものが無効になりますが、バックアップコードは有効のままです。(Google以外だとどうなっているか把握していないので各自ご確認ください)
基本的に2段階認証を無効にしてから再設定をする必要はありませんが、Evernoteの無料ユーザーは一度無効にしないとだめかもしれません。
無効にしちゃうとバックアップコードもリセットされてしまうので注意が必要です。
QRコードの再表示について質問が多いので、今日中に別エントリにまとめます。
【追記】
書きました。
2段階認証におけるTOTPトークンアプリの移行方法 | reliphone
参考
TOPT対応サービスについてまとめられているサイト。
2段階認証ノススメ (まとめ) – セキュリティは楽しいかね? Part 2
こちらはもうちょっと詳細な情報あり。
sat’s memo: 多要素認証とか二要素認証とか二段階認証とか
パスワードとトークンを一緒に保管することについて不安ならこちらも読むといいです。1Password公式ブログ(英語)
Agile Blog | TOTP for 1Password users
