パスワードを長く複雑にしているから安心、と感じている方は多いかもしれません。けれど近年は、パスワードが漏れること自体を前提にした守り方が求められています。流出したパスワードのリストが出回ったり、巧妙な偽サイトに入力させられたりと、パスワードだけに頼るのは少し心もとない時代になりました。
そこで役立つのが二段階認証です。なかでも認証アプリを使った方法は、設定の手間こそ少しありますが、いちど整えてしまえば日々の負担はわずかです。この記事では、認証アプリの仕組みから始め方、機種変更でつまずかないコツまでを、初心者の方にもわかりやすく解説します。
二段階認証とは
二段階認証とは、ログイン時に「パスワード」に加えてもう一つの確認要素を求める仕組みのことです。仮にパスワードが漏れても、もう一つの要素がなければログインできないため、不正アクセスのハードルが大きく上がります。
もう一つの要素にはいくつか種類があります。代表的なのは、スマホに届くSMSのコード、認証アプリが表示するワンタイムパスワード、そして指紋や顔などの生体情報です。この記事では、このうち認証アプリを使う方法を中心に扱います。
情報
二段階認証は「2FA」や「二要素認証」と呼ばれることもあります。サービスの設定画面では言葉が少しずつ違いますが、指している内容はほぼ同じだと考えて差し支えありません。
SMS認証と認証アプリの違い
二段階認証で最も手軽なのはSMS認証です。電話番号さえあれば使え、特別なアプリも要りません。多くのサービスが入口として用意しているため、まず触れる方も多いでしょう。
ただしSMS認証には弱点があります。代表的なのがSIMスワップと呼ばれる手口で、第三者があなたの電話番号を自分のSIMに移し替えてしまうと、本来あなたに届くはずのコードを横取りできてしまいます。また、SMSは通信圏外や海外で受け取りにくいという実用上の不便もあります。
一方の認証アプリは、コードをネットワーク経由で受け取るのではなく、スマホの中で計算して表示します。電波がなくても使え、電話番号を狙った手口の影響も受けにくいのが特長です。手軽さではSMSに分がありますが、安全性という点では認証アプリが一歩進んでいると考えられています。
認証アプリとは
認証アプリは、6桁ほどの数字を一定時間ごとに表示するアプリです。この数字はワンタイムパスワードと呼ばれ、多くの場合30秒ごとに新しい値へ更新されます。ログイン時にその時点の数字を入力することで、本人確認の二つ目の要素として機能します。
この仕組みはTOTP(時刻ベースのワンタイムパスワード)という方式に基づいています。設定時にサービスとアプリが共通の秘密の鍵を分け合い、あとはお互いに現在時刻をもとに同じ数字を計算します。鍵そのものは外に送られないため、SMSのように途中で抜き取られる心配が少ないのです。
ヒント
認証アプリには複数の種類がありますが、TOTPという共通の方式に沿っているものなら、一つのアプリで複数のサービスをまとめて管理できます。特定のアプリにこだわる必要はなく、使い慣れたものを選んで構いません。
認証アプリの始め方
ここからは実際の導入手順を見ていきます。サービスによって画面の文言は異なりますが、おおまかな流れは共通しています。
-
認証アプリをインストールする
まずスマホのアプリストアから認証アプリを一つ入れます。TOTPに対応したものであれば、好みのもので問題ありません。複数のサービスを一つのアプリにまとめられるので、最初に一本決めておくと管理が楽になります。
-
サービス側で二段階認証を有効化する
登録したいサービスにログインし、設定からセキュリティやログイン関連の項目を開きます。「二段階認証」「認証アプリ」といったメニューを選び、有効化を進めます。
-
QRコードを読み取る
画面にQRコードが表示されたら、認証アプリの追加機能でそれを読み取ります。これでサービスとアプリの間で秘密の鍵が共有され、アプリにそのサービスの欄が追加されます。
-
確認コードを入力する
アプリに表示された6桁の数字を、サービスの確認欄に入力します。正しく登録できているかをその場で確かめる工程です。コードは時間で変わるので、表示されているうちに手早く入力しましょう。
-
リカバリーコードを保管する
設定の最後に、リカバリーコード(バックアップコード)が表示されることがあります。これはスマホを使えないときの予備の合言葉です。必ず安全な場所に控えておきましょう。
一度設定が終われば、次回以降のログインではパスワードに続けてアプリの6桁を入力するだけです。慣れてしまえば数秒の手間で済みます。
機種変更で詰まないためのコツ
認証アプリで最もつまずきやすいのが、スマホの機種変更です。古い端末を初期化したあとで「アプリに登録した認証が引き継げない」と気づくと、ログインできなくなることがあります。事前の備えで防げるので、押さえておきましょう。
機種変更したら認証アプリの中身が空っぽで、ログインできなくなりました。
よくあるつまずきです。多くの場合、古い端末を消す前の移行やバックアップで回避できます。次の三つを確認しておきましょう。
備えの柱は三つあります。一つ目は移行機能の活用です。アプリによっては、新旧の端末を並べてデータを引き継ぐ機能や、クラウドにバックアップして復元する機能が用意されています。古い端末を手放す前に、こうした機能で移行を済ませておきましょう。
二つ目はバックアップの有無を確認することです。クラウド連携をオンにしておくと、登録内容が自動で保存され、新しい端末で復元しやすくなります。三つ目はリカバリーコードの保管です。移行がうまくいかなくても、これがあれば各サービスに入り直して認証を再設定できます。
注意
古い端末を初期化したり手放したりするのは、新しい端末でログインできることを確認してからにしましょう。先に消してしまうと、引き継ぎ手段が一気に減ってしまいます。
設定時の注意点
最大の注意点は、リカバリーコードを必ず保管しておくことです。スマホの紛失や故障、移行の失敗など、アプリが使えなくなる場面は意外と起こり得ます。そのときの最後の頼みがリカバリーコードです。
保管場所は、ネットにつながった端末だけに頼らないのが安心です。紙に印刷して鍵のかかる場所にしまう、信頼できるパスワード管理アプリに記録するなど、二重で持っておくとより確実です。スクリーンショットを同じスマホにだけ残す方法は、その端末を失うと一緒に消えてしまうので避けたほうがよいでしょう。
なお、認証アプリは便利ですが、それでも入口のパスワードを使い回さないことが前提です。土台となる基本対策については、スマホでやっておきたい最低限のセキュリティ対策もあわせて参考にしてください。
将来的には、パスワードそのものを使わずに本人確認を行う仕組みも広がりつつあります。さらに手軽で安全な方法に関心がある方は、パスキーでパスワードレスにする方法も読んでみてください。
よくある質問
認証アプリとSMS認証はどちらを使うべきですか
安全性を重視するなら認証アプリがおすすめです。SMSは手軽ですが、電話番号を狙った手口や圏外時の不便さがあります。サービスが認証アプリに対応しているなら、そちらに切り替えると安心感が高まります。
認証アプリが使えなくなったらログインできなくなりますか
リカバリーコードや予備の認証手段を用意しておけば対処できます。多くのサービスは、アプリが使えないとき向けの復旧手段を案内しています。設定時に表示されるリカバリーコードを必ず控えておきましょう。
オフラインでも認証アプリは使えますか
使えます。認証アプリはコードをスマホの中で計算して表示するため、電波がない環境でも数字が表示されます。ただし端末の時刻が大きくずれていると、コードが合わなくなることがあります。
複数のサービスを一つのアプリにまとめられますか
まとめられます。TOTPに対応したサービスであれば、一つの認証アプリの中にいくつも登録でき、それぞれの6桁が並んで表示されます。サービスごとにアプリを分ける必要はありません。
まとめ
認証アプリは、パスワードが漏れても不正ログインを防ぐための心強い備えです。仕組みを理解し、リカバリーコードまできちんと保管しておけば、日々の負担は小さく、安心感は大きくなります。
- パスワードだけに頼らず二段階認証を有効にする
- SMSより安全性の高い認証アプリ(TOTP)を選ぶ
- QRコード読み取りと確認コード入力で初期設定を済ませる
- リカバリーコードを安全な場所に必ず保管する
- 機種変更前に移行・バックアップで引き継ぎを済ませる
- 古い端末は新端末でのログイン確認後に手放す