デジタルセキュリティは今年、大きな話題となっています。著名人のプライベート写真の盗難(2014年9月2日の記事「iCloudの欠陥は著名人写真盗難の原因ではない」参照)や複数のクレジットカード情報漏洩事件など、少々不安を感じずにはいられない状況です。
オンラインセキュリティを強化する最良の方法の一つは、2要素認証です。簡単に言うと、2要素認証は、パスワード(あなたが知っているもの)に、専用デバイスまたはモバイルアプリ(あなたが持っているもの)によって数秒ごとに再生成される数字という形で、セキュリティをさらに強化するものです。
無料のGoogle Authenticatorは、二要素認証の事実上の業界標準となっています。Googleアカウントで使用できるだけでなく、Dropbox、Evernote、Facebook、Tumblrなど、多くのオンラインサービスでも利用可能です。
Google Authenticatorは確かに役に立ちますが、いくつか重大な制限があります。バックアップや同期機能がないため、インストールしたデバイスを紛失したり、デバイスからデータを消去したりすると、大変なことになります(例として、2013年8月28日の記事「2段階認証:2段階認証の喪失への対処法」を参照)。あるGoogle Authenticatorのアップデートで、誤ってすべてのユーザーの2段階認証トークンが消去され、ユーザーがアカウントにログインできなくなってしまいました。
ありがたいことに、代替手段があります。App Store で iPhone および iPad 向けに無料で入手できる Authy です。
Authyには、Google Authenticatorにはない数多くの機能があります。Authyは2段階認証トークンをクラウドにバックアップできるので、スマートフォンを消去したり新しいスマートフォンに買い替えたりしても、トークンを復元すればアカウントにアクセスできなくなることはありません。Authyはクラウドを使って他のデバイスと同期することも可能で、アプリはユニバーサルなので、iPhoneやiPadでも同じように使えます。Bluetooth 4.0 LEを搭載した新しいMacをお持ちなら(残念ながら私は持っていませんが)、Authy Bluetoothアプリを使えば、2段階認証トークンをMacに自動的に挿入できるので、追加の入力は不要です。
Authyのトレードオフ— Authyが2要素認証トークンをクラウドにアップロードすると聞くと、不安になるかもしれません。しかし、2つの点に留意してください。1つ目は、クラウドベースのバックアップは完全にオプションであり、デフォルトではオフになっていることです。2つ目は、Authyはアップロード前にデバイス上でバックアップを暗号化することです。
いずれにせよ、あらゆるセキュリティ上の決定と同様に、Authyのクラウド機能にもトレードオフが伴います。機密情報を他者のサーバーに保存すると、たとえごくわずかでも盗難のリスクが高まります。しかし、メリットも考慮してください。Google Authenticatorを使用すると、iPhoneを紛失した場合、少なくとも一時的にはアカウントにアクセスできなくなります。1つのアカウントがハッキングされるのと、ソフトウェアの不具合や携帯電話の故障によってすべてのアカウントにアクセスできなくなるのとでは、どちらのシナリオがより現実的で、より恐ろしいのでしょうか?
Authy には、Google Authenticator にはない重要なセキュリティ機能も追加されています。PIN または Touch ID を使用してアプリをロックするオプションがあるため、デバイスの全体的なパスコードが破られた泥棒がトークンを見ることはできません。
Authyに脆弱性が見つかったとしても、二要素認証で保護されたオンラインアカウントは、パスワードのみに頼るアカウントよりも安全です。攻撃者はアカウントのパスワードを解読するだけでなく、Authyのパスワードも解読する必要があります。逆に言えば、たとえ攻撃者がAuthyアカウントに侵入したとしても、アカウントのパスワードがなければトークンは役に立ちません。このようなアカウントは、パスワードのみで保護されたアカウントに比べて、ハッキングが2倍困難です。
私にとって、Authyを使うという決断は簡単です。二要素認証でアカウントを保護できるだけでなく、Google Authenticatorで発生しがちな問題の発生リスクも軽減できるからです。
Authyの使い方— Authyは、2要素認証としては非常に使いやすいです。まず、アカウントトークンを設定する必要があります。画面下部の「アカウントを追加」をタップし、オンラインサービスから提供されるQRコードをスキャンするか、提供されたコードを入力します。取得方法はサービスによって異なります。
1 つ以上のアカウントを追加すると、画面の下部に表示されます。アカウントが 4 つ以上ある場合は、画面下部のボタンの列がドロワーに変わり、展開すると追加のアカウントと [アカウントを追加] ボタンが表示されます。2 要素認証で保護されたサイトにログインするために必要な、期限付きのトークンを表示するには、アカウントをタップします。トークンの有効期限は通常 30 秒なので、タイマーに注意してください。トークンの有効期限が数秒しか残っていない場合は、次のトークンを待つ方が簡単です。iOS デバイス自体からログインしている場合は、トークンの横にある青いコピー ボタンをタップしてクリップボードにコピーすることもできます。
アカウントを管理したり、追加のセキュリティ保護を設定したりしたい場合は、右上の「設定」をタップしてください。設定画面の「マイアカウント」パネルでは、Authyアカウントに紐付ける電話番号とメールアドレスを設定できます。これらは重要です。新しいiPhoneに乗り換える際、Authyは本人確認のためにこれらの連絡方法のいずれかを使用するように求めてきます。また、ここで保護PINや指紋認証を設定することもできます。こちらはおすすめです。お使いのデバイスがTouch IDに対応しているなら、指紋認証を有効にしないのはもったいないと思います
。指紋認証は、手間をかけずにセキュリティを大幅に強化できるからです。
「アカウント」ペインでは、トークンを管理したり、適切な名前を設定したりできますが、おそらく新しいユーザーにとってより重要なのは、クラウド バックアップを設定したり、バックアップ パスワードを変更したりできる場所でもあることです。
Bluetooth ペインでは、そのオプションが利用可能な場合、Authy が Bluetooth を使用して Authy Bluetooth アプリと通信することを許可するだけです。
最後に、「デバイス」パネルでは、マルチデバイスサポートの設定と管理ができます。他のデバイスのアクティベーションは、Authyが「継承された信頼」と呼ぶ仕組みによって行われます。つまり、同じAuthyアカウントを別のデバイスで使用しようとする場合、既に承認済みのデバイスから承認を受ける必要があります。実際には、これはセキュリティと利便性のバランスが取れているように見えます。
窓を板で塞ぐ— 昨今のデジタルセキュリティは、まるでゾンビ・アポカリプス映画のようです。物資を備蓄し、窓を板で塞いでいても、遅かれ早かれ、おそらくは単純な人為的ミスによってゾンビが侵入してくるでしょう。
しかし、努力が結局無駄になるかもしれないからといって、板を釘で打ち付けるのをやめる必要はありません。同時に、食べ物が必要な時に外に出られないほど多くの板を釘で打ち付けるのは避けたいものです。
Authyについては、だいたいそんなふうに考えています。開発者自身も認めているように、クラウド機能はセキュリティを低下させる可能性もある一方で、デジタルハウスから締め出されるのを困難にするものでもあります。
また、Authyの機能の一つに過ぎないことも覚えておいてください。オンラインセキュリティの万能薬ではないのです。小売店からクレジットカード番号が盗まれるのを防ぐことはできませんし、Appleの奇妙な二要素認証の実装のおかげで、ジェニファー・ローレンスの写真が盗まれるのを防ぐこともできなかったでしょう。
Authy はセキュリティ キット内の単なるツールですが、2 要素認証の威圧感を軽減する便利なツールです。