あなたは大丈夫?2段階認証アプリに潜む意外な落とし穴と解決策
2019-12-25
azblob://2022/11/11/eyecatch/2019-12-25-Authenticator-000.jpg

こんにちは!藤谷です。 今回はAndroidの端末初期化時に2段階認証アプリの設定で少し大変な思いをしましたので、皆さんに共有します。

セキュリティ強化のため、「2段階認証」を設定しましょう!!という流れですが、よくわからずに設定すると、後で大変なことになります。

これは…ハマりやすい?!意外な落とし穴と思いました。

※2段階認証アプリとはTOTP (Time-based One-Time Password) アプリとも呼ばれ、ワンタイムのセキュリティコードを自動的に生成するアプリです。

Googleの2段階認証アプリに潜む落とし穴

普段、Googleの2段階認証アプリ「Google Authenticator」を使用しており、シンプルなのが気に入っていました。

端末初期化時、このGoogleの2段階認証アプリのせいで大変な思いをしました。Androidのバージョンアップ時に端末を初期化した時の話です。

このとき「2段階認証アプリに設定した情報が消えてしまっても、他のアプリと同様にGoogleにログインすれば、設定情報は復元できる」と思い込んでいました。

ですが…端末初期化後、SNS、Slackなどのサービスに再ログインする際に2段階認証のコードを求められて、初めて気づきました。 Googleの2段階認証アプリを開いたら設定していたものが全部消えている…!

調べてみるとGoogleの2段階認証アプリには

  • 引継ぎやバックアップなどの機能は一切ない
  • Googleにログインしても2段階認証アプリの設定情報を復元することは不可能
  • そのため、端末の紛失、破損、機種変更、初期化などがあった場合はアウト

という仕様のようでした。

そのためアプリに設定していた情報を失った場合は、以下のいずれか(他にもあるかもしれません)でサービスに再ログインする必要があります。

  • 2段階認証アプリに設定する際に控えていた「バックアップキー」等を使用する
  • 2段階認証アプリ設定時に印刷、キャプチャしたQRコードを再度読み取る
  • ログインセッションの残っている端末から2段階認証アプリを再設定する
  • 設定していた電話番号のSMS認証を使用する
  • 設定していたメール認証を使用する

以上のいずれかが可能であれば2段階認証アプリの設定情報が消えてしまっても、再度ログインができます。

逆に言うとそれらを設定せず2段階認証アプリによるログインに依存していた場合、2段階認証アプリの情報を失った時点で再ログインは2度とできないことになります。

今回、私の場合はほとんどが上記に当てはまっていたため、電話番号認証やバックアップキーを使って再ログインができました(不幸中の幸い)

一歩間違えると一生ログインができなくなるのはかなりヤバイ

2段階認証はセキュリティを強化させることができてとても便利ですが、その分、自分自身がログインできなくなるリスクもあります。

例えばネットバンキングに2段階認証を設定していて2段階認証アプリの情報を失ってログインができなくなったら、お金を失うことになります。

端末を水没させてしまい、起動できなくなった!という事態になれば大切な資産を失うことになります。

「Google Authenticator」信頼はできるけどキケン!!
「バックアップキーなんて面倒だから控えていないよ」という人も多いのではないでしょうか…

そこで、他に設定情報を自動でバックアップしてくれる2段階認証アプリはないか?探してみました。

2段階認証アプリは 自動バックアップ機能を備えた Microsoftがおすすめ

Microsoftの2段階認証アプリならクラウドバックアップが可能です。

Microsoft Authenticator(Android版)

Mirosoft Authenticator(iOS版)

Googleはシンプル過ぎるほどシンプルな機能で、一度設定情報を失ったら終わりでした。
Microsoftの2段階認証アプリなら、事前にMicrosoftアカウントをアプリに設定しておけば、設定情報の自動バックアップが可能となります。

「クラウドのバックアップ」を有効にする

Microsoftアカウントにログインすれば設定情報を読み込むことができるので
・複数端末間での設定情報コピー
・端末の機種変更、紛失、破損時の復旧
・初期化時の復元
が可能となります。安心!

詳細は以下をご覧ください。

Microsoft Authenticator アプリを使用してアカウント資格情報をバックアップおよび復旧する

(これらの機能がGoogleの2段階認証アプリに存在しているものだと思い込んでいたので、消えたときは本当に驚きました。 2019一番悲しかったこと:「2段階認証アプリの設定情報が消えた」です。)

今回の事例から見る対応策

  • 設定時に発行されるバックアップキー、QRコードを安全な形で保存、管理する
  • バックアップ機能の付いた2段階認証アプリを使用する
  • 2段階認証アプリ以外の認証方法(電話番号)があれば必ず登録する
  • 複数のスマホに登録する

などアプリだけに依存しない対策が必要です。

まとめ

以上、Googleの2段階認証アプリには端末の設定情報が消えたときに復元できないリスクと、その対応策としてバックアップ機能の付いたMicrosoftの2段階認証アプリがおすすめであることを実体験から書きました。

セキュリティを担保しながら、大切な資産を失わないように管理したいですね…!2段階認証アプリを設定したままで、紛失してしまったときの対応ができていない方はぜひ今回の記事を参考にしてください。