パスワードだけでなく、複数要素でログインするための認証アプリって、どうやって選べばいいでしょうか?
IT運用管理15年の視点から、認証アプリを選ぶポイント・おすすめな認証アプリの順に説明しています。
この記事の筆者はこんな人
- IT管理15年、管理のプロ
- ITIL、情報セキュリティ資格所持
- IT活用した課題解決のベテラン
目次
※はじめに「2段階認証」の表記について
当記事は、幅広く使われている用語「2段階認証」の表記で統一しています。
認証要素って何?という方はこちらをCHECK
-
2段階、2要素、多要素の違いとは?IT管理プロが解説
続きを見る
2段階認証とは?
サービスにログインするとき、IDパスワード入力の後に別の要素で認証を行うことを示します。
2段階認証ログインの流れ
- IDとパスワードを入力し[ログイン]ボタンを押す
- 次の画面で「6ケタの数字を入力してください」が表示される
- スマホの2段階認証アプリを開きコードを控える
- 上記2の画面に戻り、2段階認証アプリのコードを入力する
- ログイン完了
サービスを利用するに際し、”パスワードのみの認証は危険”という考えが、ようやく定着してきたように見受けられます。
2段階認証は、第三者の不正ログインから個人情報を守る”最後の砦(とりで)”です。
2段階認証アプリ選び5つのポイント
使い勝手以前、最低限クリアしておくポイントを説明していきます。
1.2段階認証アプリに脆弱性がないか
セキュリティ強化のアプリに脆弱性があっては、元も子もありません。
筆者は使用するアプリに脆弱性がないか、必ずチェックしています。
セキュリティ系アプリを使いはじめ前は、特に脆弱性ないか「安全性」を入念に調べるようにしましょう。
2.2段階認証アプリの提供元の信頼性
アプリの開発、提供元の実績をみてみましょう。
避けるべきセキュリティアプリ
- 個人が開発元
- 社名で検索しても実績がない
上記理由として、ブラウザーアドオンのセキュリティ事案をもとに説明していきます。
ChromeとEdgeのアドオン28種に個人情報漏洩マルウェア、世界300万人が感染との報告
出所:avast社ニュース 2020年12月16日
avast社の見解として、マルウェアが組み込まれた理由を次のように語っています。
- 開発者により意図的に組み込まれた
- アドオンの脆弱性をついて組み込まれた
- 開発者がアドオンを"悪意ある第三者に売った"
スマホのアプリにも同じです。
誰が作ったのかもわからないアプリに、何か仕込まれていても気づきませんよ?
2段階認証アプリ以外でもそうですが、
使用するアプリの開発者は誰なのか?
確認するようにしましょう。
3.2段階認証アプリの更新履歴にも注意
セキュリティ関連アプリは、時局に沿ったアップデートが必要です。
なぜなら、不正を働くハッカーの技術スキルも日進月歩にアップデートされていくからです。
例えば、アプリに脆弱性が発見されハッキングされた場合、「アプリの乗っ取り」だけではすみません。
2段階認証コードをランダムに発行するアルゴリズムを盗まれ、解析され、ダークウェブのような闇サイトで売買されるケースもあります。
ダークウェブとは?
「闇サイト」と訳され、個人情報やソフトウエアの脆弱性が取引されるサイトを指す。
参考:Wikipedia
4.2段階認証アプリの評価
アプリのダウンロード画面、使っている人の評価を「最新順」にしてチェックします。
ですが私的な見解が入り混じり、信ぴょう性に欠ける面もあります。
そのような場合は、SNS書き込みの感情分析機能を使い、客観的に自身の中で結論付けるのもありです。
ネガティブ/ポジティブな意見どのような傾向なのかを判別することができますよ。
参考まで、下図は「Yahoo!リアルタイム検索」でGoogle Authenticatorを検索した結果です。
5.2段階認証アプリのバックアップ機能は必須
スマホの「故障、紛失、機種変更」など、2段階認証アプリの利用ができなくなると、
一生ログインできなくなるサービスもあります。
そのため、2段階認証アプリを使う場合、
”バックアップは必須”です。
無料で使える2段階認証アプリおすすめ
ずらずらと並べるまでもなく、1択でした。
■Authy(オーシー)
特徴・メリット
- 複数スマホで共有できる
- バックアップ機能あり
- デバイスごとに使用を制限する機能あり
2段階認証をバックアップも併用し家族で共有して使う用途であれば、Authy一択でしょう。
共有なんてしても平気なの?という不安がある方、大丈夫です。
「利用デバイス」を制限する設定があります。
悪意ある第三者が使おうとしたところで、登録していないデバイスなので使用できません。
表示が英語なので使いはじめに苦労するかもしれませんが、設定事例はネット上に多くあり、迷うことはないでしょう。
2段階認証&パスワードまとめて管理できるアプリ【有料】
有料ですが、2段階認証とパスワードをセットで管理できるアプリです。
生産性は格段にアップしますよ。
「2段階とパスワード一緒に管理するのって、どうなの?」
そう思いますよね。
でも、パスワード管理アプリのみにリスクを局所化、集中し管理することができますよ。
つまりは、アプリごとに脆弱性を気にする必要がなくなります。
1.1Password
世界で40,000社以上の導入実績、1500万人以上のユーザーが使用しているパスワード管理アプリです。
1Passwordに関しては、別記事で紹介しています。
続きを見る
1Password使い方|IT管理プロがiPhoneの画面で解説
2.Bitwarden ※有料機能
パスワード管理サービスとしては後発型、いいトコどりなパスワード管理アプリです。
-
「Bitwarden」の使い方をIT管理15年プロが徹底解説
続きを見る
なお、パスワード管理アプリとしては無料で使えますが、2段階認証は有料機能です。
【参考価格】年間10ドル、2021年5月現在の日本円で「約1,090円」
2段階認証&パスワード管理アプリ|無料は「Microsoft Authenticator」
- Microsoftアカウントだとアプリ通知でサインインできる
- バックアップ機能あり
- パスワードも管理できる
言わずと知れた天下のMicrosoftの認証アプリです。なんと、パスワード管理機能もあります。
使い勝手が悪い、デメリットとしては次の3点ですね。
- アプリ内検索できない
- 並び替えできない
- 視認性が悪い
→登録したサービスのアイコンで判断できないものがある
こんな方におすすめ
- Microsoft 365アプリ全般をメインで使う方
- 無料でパスワード&2段階認証の管理をはじめてみたい方
- Microsoft Edgeブラウザーをメインで使っている方
Microsoftのクラウドサービスをメインで使っている方、Microsoft Authenticatorアプリをチラ見してみては如何でしょう。
Microsoft Authenticatorパスワード管理機能はコチラをCHECK!
-
Microsoft Authenticator(MS Auth)パスワード管理の使い方をIT管理プロが解説
続きを見る
2段階認証アプリまとめ
2段階認証アプリと選び方の紹介でした。
どの認証アプリを使うか?お悩みの場合、
- 複数デバイス、家族で共有して使う
→「Authy」がおすすめ
- Microsoftアカウントがメイン
- パスワード管理もしたい
→「Microsoft Authenticator」がおすすめ
因みに「Google Authenticator」ですが、2021年5月現在、次の理由で対象外としています。
- バックアップ機能がない(移行機能で代替)
- アプリ更新が停滞していること
