現時点ではGoogle AuthenticatorではなくMicrosoft Authenticatorを使ったほうが無難そう"だった"という話(+Authyについて)
*2024/02/14追記、重要
User guide: End of Life (EOL) for Twilio Authy Desktop app
とアナウンスが出ていました。Authyのデスクトップアプリが使えなくなるそうです。利用者数とコストの兼ね合いなのでしょう。
Google Authenticator(Google認証システム)もクラウドによるアカウント同期に対応したので、結果として「Authyの優位性はなくなった」という状況です。
今後はGoogle AuthenticatorまたはAuthyで、好みの方を使うとよいのではないでしょうか。私は流れでAuthyを使用していますが、「多くの人、特に新規の人はブランド力からGoogle Authenticatorを使う比率が高いだろう」と思っています。
Microsoft Authenticatorは2024年現在もiOSとAndroidをまたがってクラウドで同期できない点に注意してください。ただしMicrosoft Authenticatorを使用するとMicrosoft系サービスの認証が楽になります。現在私はMicrosoft AuthenticatorをほぼOneDriveのVault認証専用アプリとして使用しています。
以下は過去の話なので特に読む必要はありません。一応過去ログとして残しておきますが、アプリやサービスのアップデート/仕様変更に伴い現状とは異なることも書いてある点に注意してください(例:Evernoteの2段階認証)。
2段階認証にGoogle Authenticatorを使用してきました(Microsoftアカウント除く)。
そして先日、某サービスの2段階認証をGoogle Authenticatorに設定していた際に思いました。
「Google Authenticatorのバックアップってどうやるんだろう」
Google Authenticatorにはバックアップ機能がない
結論は
・Google Authenticatorはバックアップ機能がない
です。
アカウントのインポート、エクスポートはできますが、これはスマホの画面に表示するQRコード経由のため、エクスポート元になるスマホを紛失、破損時などには実施できないという問題があります。
更にGoogle Authenticatorはアプリ起動時のパスワードを設定することができません。そのためスマホのパスワードが破られるとGoogle Authenticatorも使用されるリスクが高まります。
Microsoft Authenticatorにはクラウドバックアップ機能がある
なので現状では
「起動時にパスワードが求められ、更にクラウドバックアップできるMicrosoft Authenticatorを使用したほうが無難そうだ」
となりました。
*2020/12/20、追加の動作確認に伴う文章の削除と追記
もともとここに
「Microsoft Authenticatorのクラウドデータは自動で更新されないようだ」
という旨の文章を書いていたのですが、再度確認したところ自動更新されていました。私の確認ミスです。すいません。
更新のタイミングはアカウントの追加、削除時ではなく、何らかの別のトリガーのようです。未確認ですがアカウント追加+一定時間経過とか?
ただしMicrosoft Authenticatoは、クラウド経由でiOSとAndroidで相互にバックアップと復旧ができません。これはiOSでもMicrosoftのクラウドストレージを使用すればAndroidとの相互バックアップが可能になると思うのですが、何か事情があって難しいのでしょうか?
復旧時は
リストア方法
こちらは、もう何も考えずに新しくMicrosoft Authenticatorをインストールして、同じMicrosoftアカウントでログインするだけです。
アカウントが何も登録されていない状態だと、「回復する」というようなボタンが表示されるので、そこで指示に従って進むだけで上記でバックアップした内容がリストアされます。
もし既にMicrosoft Authenticatorがインストールされていくつかアカウントが追加されていたとしても無視してMicrosoft Authenticator自体をアンインストールして再度インストールします。
ココで中途半端にアカウントのみを手動で全て削除してから「回復する」を選択していくとハマります。
だそうです。
データバックアップの対策
いくつか対策はあります。
Microsoft Authenticatorのクラウドバックアップ(前述)
認証時のQRコードの画像を保存しておく
QRコードでの認証時、複数台のスマホ/タブレットで同時にスキャンしておく(*必ず同じQRコードを使用する)
最強はQRコード画像の保存かもしれません。任意のAuthenticatorで再度QRコードをスキャンすれば復旧できます。ただしQRコード画像の管理という問題が出てきます。2段階認証設定済みのMicrosoftアカウントでOneDriveのVaultに保存とか?
私は
普段持ち歩くスマホでMicrosoft Authenticatorを使用(メイン)
自宅に置きっぱなしの古いスマホでGoogle Authenticatorを使用(サブ)
認証時はこの2台で同時に認証する
にしました。
これによってMicrosoft Authenticatorによるクラウドバックアップ(その1)、2端末によるバックアップ(その2)、Google AuthenticatorもあるのでiOSとAndroidを双方向でデータ移行できる状態になります。
2段階認証設定時にサービス側から復旧用の使い捨てパスワードが発行される場合があるので、万一に備えこれを保存しておくことも大切です。
補足
補足1)
今回2つのAuthenticatorアプリケーションのことを書きましたが、他にもAuthenticatorアプリケーションは存在します。
補足2)
Microsoft AuthenticatorでAmazon JPとAmazon COMの両方を設定することはできません。実際に試したところ、前に読み込んだQRコードはあとから読み込んだQRコードで上書きされます(しかも画面には「追加しました」と表示される)。つまりJP/COM択一です。これ結構なトラップだよなぁ。Google Authenticatorではどちらも設定できました。
補足3)
Evernoteで無料ユーザー(ベーシック)の場合、Authenticatorアプリケーションを使った2段階認証は使用できません。SMSでの2段階認証は可能です。アカウントの設定ページにはこの記載がなく、かなりハマってしまいました。
補足4)
Yahoo製のAuthenticatorアプリケーション配布終了に伴いYahoo JapanでAuthenticatorアプリケーションによる認証ができなくなりました。メールまたはSMSによる2段階認証は可能です。
補足5)(2021/03/12追記)
Twilio社のAuthyという2段階認証アプリケーションが存在します。
これはスマホだけではなくmacOS、Windows、Linux用のアプリケーションも存在し、しかもデータがOSを問わずクラウド経由で同期/バックアップされます(*要SMS用電話番号)。触った範囲ではこれが一番使い勝手がよいAuthenticatorだと感じました。PC系のアプリケーションもあるので、PCでの作業中にスマホを取り出す必要がなくなります。
Android版は起動時のパスワードを設定できるのを確認しました。Windows版では起動パスワードは設定できないようです(多分)。
【了】