二要素認証を提供しているウェブサイトで、アプリを起動して適切なサイトエントリを探し、6桁のコードをコピーして、パスワード以外の本人確認を求められるたびに貼り付けるという面倒さから、二要素認証を有効化することをためらってきた方は手を挙げてください。Appleはあなたの苦しみを理解しており、これらの一時的なコードの入力の手間を軽減する、新しい効率的な方法を開発しました。
二要素認証は、攻撃者がオンラインアカウントを簡単に乗っ取るのを防ぐため、インターネットのセキュリティを大幅に向上させます。パスワードマネージャーを使用してサイトごとに強力で固有のパスワードを作成したとしても、パスワードは盗難や傍受の危険にさらされます。ウェブサイトのログインプロセスで二要素認証(スマートフォン、タブレット、電話番号、コンピューターなど、ユーザーが所有または管理するもの)が求められる場合、パスワードが盗まれたり傍受されたりしても、アカウントが侵害される心配はありません。
多くのサイトは、SMSメッセージ(または通話)を第二要素として利用しようとしており、デフォルトとして設定するか、二次的な選択肢として提供しています。問題は、テキストメッセージや音声コードでは、受信者がアクセス権を持つ当事者であることを保証できず、電話番号を持っていることしか保証されないことです。電話番号の乗っ取りは非常に簡単です。ソーシャルエンジニアリング(通信会社の担当者を説得して番号を変更させる)、通信会社の番号管理方法の欠陥、電話システム全体にわたるハードウェアレベルの脆弱性などによって乗っ取られる可能性があります。
テキストメッセージと音声通話は二要素認証を使用しないよりはましですが、比較的脆弱です。Appleの二要素認証のように、認証アプリや独自のシステムをサポートするサービスが増えているにもかかわらず、多くのサービスは依然として脆弱なSMSと音声通話に頼っています。
2要素認証のより優れた方法は、タイムベースワンタイムパスワード(TOTP)と呼ばれる共有シークレット方式です。2要素認証をサポートするほとんどのサイトではTOTPは必須ではありませんが、既存のアカウントに追加できます。登録プロセス中に、サイトはTOTPソフトウェアを使用してシードシークレットを作成し、それをアカウントに保存して共有します。このシードシークレットは通常、簡単にスキャンできるようにQRコードで表示されますが、16進数でエンコードされた数字で表示されるサイトもあります。
TOTPによる二要素認証の設定は、サイトに登録するよりも通常は難しいです。TOTPシークレットを追加して、Google Authenticator(プラットフォーム間で同期しません)やAuthy(安全に同期します)などのスタンドアロンアプリでTOTPを生成するか、1Passwordなどのパスワード管理ツールの一部としてTOTPを生成することができます。しかし、サードパーティ製ツールに依存しているユーザーの割合はごくわずかであることを考えると、AppleのOSにTOTPが組み込まれていれば、利用率が大幅に向上する可能性があります。
iOS 15、iPadOS 15、macOS の Safari 15 では、そのサポートが導入されました。更新されたパスワードインターフェイスには、すべてのユーザー向けのパスワード管理の基本が組み込まれています。パスワードと TOTP の操作は、iOS 15 と iPadOS 15 では「設定」>「パスワード」、macOS の Safari 15 では「Safari」>「環境設定」>「パスワード」で行えます。(パスワードは、macOS 12 Monterey がリリースされるまで macOS の第一級の構成要素にはなりません。リリースされた時点で、「システム環境設定」>「パスワード」からアクセスできるようになります。) 後でサイトまたはアプリでコードの入力が求められる場合は、iOS/iPadOS の QuickType バーに表示されるか、Safari では自動入力プロンプトとして表示されます。
二要素認証コードを簡単に追加し、必要に応じて生成できるため、利用率の向上とユーザーのストレス軽減につながります。また、二要素認証の使い方を他の人に教えるのも、手間をかけずにはるかに簡単になります。
TOTPを追加する
iOS 15/iPadOS 15 および macOS の Safari 15 では、パスワードを「パスワード」に保存したら、登録時に提示される QR コードを使用して TOTP を追加するのが最も簡単な方法です。
- TOTP認証を追加したいウェブサイトまたはサービスにアクセスし、QRコードが表示されるまで手順を実行してください。(例えばGoogleの場合、ログイン後、ウェブページの右上隅にある自分の画像をクリックし、「Googleアカウントの管理」→「セキュリティ」→「2段階認証プロセス」の順にクリックします。認証に登録し、「iPhone」を選択します。また、この記事には機能しないものの正規のTOTP QRコードが掲載されているので、そちらを使って練習することもできます。)
- iOSまたはiPadOSでは、QRコードを長押ししてオプションメニューを表示し、「パスワード」アプリで「確認コードを追加」をタップします。macOSのSafariでは、QRコードをControlキーを押しながらクリックし、「確認コードを設定」を選択します。
- パスワードにすでに保存されているログインに応じて、次の 3 つの選択肢のいずれかが表示されます。
- 一致するアカウントが 1 つ表示され、それにコードを追加するように求められます。
- 複数のドメインが一致する場合は、正しいエントリを選択または検索するように求められます。
- 一致するものが見つからない場合は、保存したパスワードを検索できます。
確認コード領域にコードが表示されます。
iOS/iPadOS の Safari 内で QR コードを直接読み込むことができない場合は、代わりにカメラ アプリでスキャンすることができます。カメラ アプリは QR コードの種類を認識し、上記の手順 2 と同じプロンプトを表示します。
TOTPは他の方法でも設定できます。iOS/iPadOSの場合は「設定」>「パスワード」、macOSの場合はSafariの場合は「Safari」>「環境設定」>「パスワード」と進んでください。ここでパスが分岐しますが、どちらの場合も、登録ページにTOTPのシークレットが表示されていれば使用できます。
iOS または iPadOS の場合:
- パスワードエントリを選択します。
- 「確認コードの設定」をタップします。
- 「セットアップ キーを入力」を選択して共有秘密を入力するか、「QR コードをスキャン」を選択して上記のように QR コードを指定します。
macOS の Safari の場合:
- パスワードエントリを選択します。
- [編集]をクリックします。
- セットアップキーの入力をクリックします。
- キーを入力して「OK」をクリックします。
TOTP を追加した後、登録を完了するには正しいコードを持っていることを確認する必要がある場合があります。
iCloud キーチェーンが有効になっている場合、これらのコードはデバイス間でパスワード入力の残りの詳細と同期されます。
残念ながら、他のアプリやエコシステムからAppleのTOTPに移行することはできません。認証アプリやシステムではシードコードのエクスポートが許可されていないためです。Authyのサポートドキュメントには、「ユーザーのセキュリティを維持するため、Authyアプリケーションでは2FAアカウントトークンのインポートとエクスポートは許可されていません」と記載されています。また、ほとんどのサイトではTOTP登録プロセスを再表示できません。
したがって、現在使用しているものから Apple のシステムに切り替えるには、サイトごとに 2 要素認証を無効にしてから再度有効にするか、サイトが 2 要素認証をサポートしている場合は、シード シークレットを再生成する必要があります。
Appleのシステムを試してみたいけれど、今使っているアプリはそのまま使い続けたい場合はどうすればいいでしょうか?その場合は、2要素認証を無効にして再度有効にすれば、複数のシステムでQRコードをスキャンするか、セットアップキーを手動で入力することができます。QRコードをAppleのシステムに追加し、画面に表示されている間にAuthyや1Passwordなどでスキャンするだけです。QRコードのスクリーンショットを撮って、後で別のアプリに追加することもできますが、保護されていない状態で保存しておくとセキュリティリスクが高まる可能性があるため、必ず完全に削除してください。
TOTPコードを入力してください
TOTP を使用した 2 要素認証で保護されたアカウントの正しいユーザー名とパスワードを入力すると、Apple のソフトウェアによってフィールドが自動的に認識され、自動的に入力する別の方法が提供されます。
- iOSおよびiPadOSでは、TOTPコードの入力を求めるフィールドをタップすると、QuickTypeバーに確認コードのオプションが自動的に表示されます。QuickTypeバーの項目をタップするだけで、フィールドに6桁のコードが入力されます。
- macOS版Safariでは、アプリが自動的にフィールドを選択し、クリック可能なボタンとして確認コードのオプションを表示する場合もあれば、フィールドをクリックして自動入力オプションを表示させる必要がある場合もあります。いずれの場合も、クリックして続行してください。
これらの自動オプションがどちらも機能しない場合は、Safari > 環境設定 > パスワードを開き、パスワード項目を見つけて、ユーザー名、パスワード、または確認コードをクリックしてコピーし、ログインフォームに手動で貼り付けてください。一部のサイトではログインが困難な場合があります。
TOTPはトップ
TOTPは、アカウントへのアクセスを許可されるべき唯一の人物として、あなたの身元を検証するための堅牢な方法です。これは、秘密の保持を必要とし、他の通信システムでは有効な形式では送信されない、暗号的に生成されたコードを送信するためです。攻撃者がTOTPを入手する唯一の方法は、それを生成して1分以内にコードを入力できる人物からそれを奪うか(ハードルは高い)、デバイスの1つを盗んでロックを解除することです。
アカウントがハッキングされるほど重要ではないと勘違いしないでください。大手サイトへの侵入が相次ぎ、何百万ものユーザー名とパスワードが漏洩する事態が続いているため、攻撃者は侵入可能なアカウントのテスト方法を自動化しています。2要素認証は、保護されたアカウントをこのような大規模な攻撃や多くの標的型攻撃から守ります。iOS 15、iPadOS 15、macOS版Safari 15のパスワード機能で、電話ベースのコードではなくTOTP(Total Time Protocol)を利用すれば、セキュリティと使いやすさを両立できます。
iPhone と iPad のセキュリティ保護とプライバシー保護について詳しくは、 iOS 15 および iPadOS 15 向けに更新された私の著書『 Take Control of iOS & iPadOS Privacy and Security』の最新版をご覧ください。