最近は普通の家も鍵が2つついていることが珍しくないように、オンラインのアカウントもセキュリティ強化のためにパスワードを2つ要求する2段階認証が少しづつ広まってきました。
携帯メール(SMS)を使った最も基本的な方法は、以前書いた「2段階認証でセキュリティ強化」の記事で紹介しました。
普段、携帯電話が使えないことはほとんどありませんが、海外旅行の時や国内でもたまたま電波の調子が悪いときなど、SMSが受信できないこともあります。
せっかくセキュリティを強化しても自分がアクセスできなければ意味がないですよね。
より確実に2段階認証を使うには、携帯のネットワークとは関係なくどこでも使えるスマートフォンのアプリ「Google Authenticator」が便利です。
Google Authenticatorとは?
Google Authenticator は、iPhone、iPad、Android搭載のスマートフォンで使えるワンタイムパスワード(OTP)生成アプリです。
アプリを立ち上げると30秒間だけ有効な6桁の数字のコードが表示されます。
2段階認証のさいに、このコードを時間内に入力すると認証が完了します。このアプリはスマートフォンの電源さえ入っていれば、機内モード(飛行機)にしても問題なく機能するのが特徴です。
技術的な詳しい説明は省きますが、設定のさいに同じアプリケーションが起動しているGoogleのサーバーとパスワード生成するための秘密を共有することで認証が可能になっています。
秘密の鍵のパターンはなんと2の256乗。
つまり1の後に0が77個つく数の通りだけあり、その鍵なしに同じ時間に同じパスワードを作るのはほぼ不可能です。
また、ユーザが画面で見るのは6桁の数字ですがアプリが実際に生成しているのは40桁のパスワードなのでセキュリティレベルは非常に高いといえます。
Google Authenticator のメカニズムについて詳しく知りたい方は以下のリンクを参照してください(英語)。
How Google Authenticator Works
Google Authenticatorの使い方
1.設定
スマートフォン側(iPhone & Android)
まず、iPhoneはApp Store、AndroidはGoogle PlayからGoogle Authenticator をインストール。
インストールが終わりアプリを起動させたら、画面上に表示される「+」をタッチします。「バーコードをスキャン」と「手動で入力」が選べるので、通常はバーコードをスキャンを選択(以下イメージ左)。
カメラ機能が起動するので、ウェブサイトに表示されるQRコードにカメラをかざしてコードを読み取ります(以下イメージ中央)。6桁のコードが表示されれると設定完了(以下イメージ右)。
ウェブサイト側
2段階認証を有効にするやり方はサイトによって違うので細かい説明は割愛しますが、設定でSMSによる認証ではなくアプリによる認証を選んでください。
そうすると、パスワード生成の秘密の鍵情報を含んだQRコードが表示さるので、スマートフォンで読み取ります。QRコードが認識されるとGoogle Authenticatorがコードを生成し始めるので、そのコードをサイトに入力すれば設定完了 。
大抵のサイトではその後、緊急時のバックアップコードを保存する画面に移るので、表示されるコードを書き留めておきます。
Google Authenticator の設定だけで終わってしまった場合でも2段階認証の設定ページを開き、個別にバックアップコードを表示して保存してください。
2.コードの入力
2段階認証を有効にした後にサイトにログインしようとすると、通常のユーザIDとパスワードの入力後に認証コードの入力画面が表示されます。
このときに普段使うパソコンであれば、「*このコンピューターを信頼する」にチェックを入れておきましょう。
2回目以降のログインでコードの入力を省略できるだけでなく、スマートフォンが壊れてしまったときなどに、アカウントからロックアウトされないようにするためです。
この信頼したという情報は、Cookieに保存されます。ブラウザで誤ってCookieを削除しないように注意してください。
Cookieについて知りたい方は、「Cookie(クッキー)のすべて – 仕組みから設定まで」の記事がおすすめです。
※サイトにより、少し異なる表現が使われている場合もあり。
次に、Google Authenticatorを立ち上げて、表示されるコードを有効期限(30秒)が切れる前に入力してログインします。
スマートフォン内で認証する場合は、表示される数字をタッチするだけでパスワードがコピーされるので、手入力しなくてもコピー&ペーストで認証が可能です。
また、期限が切れそうになるとコードの文字が青から赤に代わり点滅するので、その場合は少し待って次に生成されるコードを使ってください。
Google Authenticatorに対応しているウェブサイト
2段階認証を採用している以下のメジャーなサイトが、Google Authenticatorに対応しています。
- Yahoo (設定は手動入力が必要)
- LastPass
- Dropbox
- Outlook
- Evernote (無料ユーザはSMS不可)
- WordPress (プラグインをインストール)
- Twitter*
WordPressは、日本語未対応ですが名前通りGoogle Authenticatorというプラグインがおすすめ。ダウンロードは、WordPressのプラグインサイトから。
ちなみに、Apple、LINE、Pinterestは今のところSMS対応のみとなっています。
*以前TwitterはSMS対応のみと記載していましたが、2019年に電話番号登録なしでGoogle Authenticatorが使えるようになりました。
携帯にアクセスできないときの対処法
携帯が突然壊れたり、設定をやり直さずに機種変更してしまったときは、以下の手段で対応します。
1.信頼するコンピューターからアカウントにアクセスする
携帯にアクセスができなくなる前に、信頼するコンピューターを登録しておけばそのパソコンからは、2段階認証のコードなしでログインが可能です。
単純にスマートフォンが手元にないときは、ログイン後に2段階認証を一時的に解除。機種変更したいときは、新しいスマートフォンを使って設定をやり直してください。設定が終わったら、古いスマホからGoogle Authenticatorのアプリを削除して完了です。
2.バックアップコードを使ってログインする
上記の信頼するパソコンが使えない場合は、緊急用に保存しておいたバックアップコードを入力してログインします。コードは使い捨てなので、残り1つになったらログイン後新しいコードを生成して保存しておいてください。
サイトによりますが、新しいバックアップコードを生成すると古いコードは使用の有無にかかわらず無効になることが多いので要注意。
3.SMSを使ってコードを入力する
2段階認証の設定の段階でバックアップとして携帯の番号を登録しておくと、そちらに送ってもらうこともできます。番号ポータビリティ制度 (MNP) があるので機種変更をしても番号はそのままの人が多いので、この方法も有効です。
4.サイトの運営者に連絡する
上記の3つがダメな場合は、すべてのサービスが対応してくれるわけではありませんがウェブサイトの運営者に連絡する方法があります。
身分証明書の写真等のアップロードが要求されるうえに、時間もかかるので本当の最終手段として考えてください。
まとめ
メールやSNSのオンラインアカウントは自分の個人情報だけでなく、家族、友人、同僚など多くの人の情報がリンクしています。一度アカウントが乗っ取られると取り返すのが大変なだけでなく、まわりの人にも多大な迷惑がかかる可能性があります。
なんとなく自分は大丈夫だろうと変な自信を持たないで、よく使うアカウントから2段階認証を使い始めることをおすすめします。その際には携帯にアクセス出来ない場合に備えて、バックアップコードを必ず保存してください。
笑い話みたいですが、このバックアップコードを、その設定しようとしているクラウドストレージに保存してしまう方がいます。いざというときに使えなかったということのないように保存場所には要注意。
今回紹介したGoogle Authenticator とSMSを使った2段階認証よりすぐれている点は次の4つにまとめられます。
- 携帯のネットワークへ接続が必要ないので、オフラインでも使える
- SMSを使った2段階認証が選択できない場合でも、無料でセキュリティ強化が可能
- 携帯番号をウェブサービスと関連付ける必要がない(プライバシー保護)
- SMSよりセキュリティレベルが高い
以上から、2段階認証自体をまだ利用していない方だけでなく、すでにSMSで2段階認証を有効にしている方も、ぜひこの機会にGoogle Authenticator 試してみてください。