クラウドサービスの2段階認証にAuthyを使うことにしました

Amazonの件があったので

先月よりAmazonマーケットプレイスでのアカウント乗っ取り詐欺が、大きなニュースになって報道されていました。(ニュース記事の一例

内容は過去に出品していた業者のアカウントで、2段階認証を設定していないものが乗っ取られ、出品者になりすます。そしてそこから購入した人の、個人情報流出が考えられるというもの。そしてその流出した個人情報を使って、さらに別の詐欺が行われる可能性もあるという事でした。

自分が使っているクラウドサービスで、2段階認証が可能なものを改めて確認してみると、まだ設定していないものもあったので、この際に出来る限り行うことにしました。

Authyを使うことに

そして色々試してみた結果、Twilioの提供している「Authy」を使ってみることにしました。有名どころでは、Apple、Gmail、Yahoo、Facebook、Twitter、Amazon、Evernote、Dropbox、Wordpress、Outlookなどの2段階認証を、全てこのサービスでカバーできます。

Authyの簡単な紹介については、こちらの動画をご覧下さい。英語ですがシンプルな1分間のアニメーションなので、分かりやすくイメージできると思います。


Authy from Authy on Vimeo.

スマホアプリを入れる

iPhoneアプリAndroidアプリともに用意されており、リンク先よりダウンロード可能です。これは20秒毎に変わるワンタイムパスワードを生成してくれるアプリです。銀行のオンラインバンキングを利用している方はよく分かると思いますが、あのトークンをアプリにしたかたちとなっています。

最初はiPhoneアプリの、「Google Authenticator」や「Microsoft Authenticator」をスマホにインストールして設定していましたが、アプリを幾つも入れたくない。しかもスマホを紛失した時や買い替えの時に非常に大変そうだということが分かったので、別のものはないかと探して見つけました。

Authyの良いところは、ワンタイムパスワードを生成するアプリを、複数の端末にインストールすることができる点です。つまりiPhone以外にも、他のスマホ・iPad・PCにも設定しておけるので、何かあった時も代替の端末で2段階認証を完了できます。そして色々なサービスのワンタイムパスワードを一元管理できる点もあります。

Gmail/Amazon/Dropbox

まずGmail・Amazon・Dropboxは簡単に設定が進みました。ちなみにGmailなどは、複数のアカウントを追加しましたが、問題なく行えました。

日本語対応はしていませんが、上記を参考に設定していくと、何となくできて行くと思います。但しOutlookとWordpressの追加のみ、はじめ苦労した点があります。

Outlook

Outlookのアカウント設定のところで2段階認証をオンにし、「iPhone」を選ぶとMicrosoftのアプリを使うことが前提になっており、Authyで読み取るQRコードが表示されないのです。少し考えて、「iPhone」を選ばず、「その他」を選べばQRコードが表示されることに気づきました。(Microsoft側では自社アプリを使ってほしいのだと思いますが・・・)

WordPress

これはWordpressブログを持ってる人向けです。Wordpressの追加方法も、はじめはよく分かりませんでしたが、WordPress Securedというページがありましたので、手順を見ながら進めると何とかなりました。PCからTwilioのアカウントを新規作成し、その後ログイン。その中のAuthyの項目を選んでWordpressのログイン情報を追加しました。(AuthyはTwilioの1サービスなので)

Authyで一元管理することについて

ところでAuthyというサービスに、クラウドサービスの2段階認証を全て任せて安全なのだろうか?と考える方もおられるかもしれません。

しかしログインIDとパスワードのみで、2段階認証を利用していないよりはるかにセキュリティは高いです。そしてAuthyで表示できる2段階認証のワンタイムのみでは、逆にログインIDとパスワード情報がなければ意味がありません。

こういったことも考えて、私はしばらくAuthyを使ってみることにしました。

今はログインIDとパスワードだけでは安全とは言い難く、数秒でパスワードを解析される可能性もあります。(使い回しをしている人はさらに危ない)2段階認証をするのは必須と言い切った方がよいかもしれません。IT関連は苦手という方もおられると思いますし、中には難しくてよく分からないって人もいらっしゃるでしょう。

でも普通に使っていて特に何も対策をしていない、というのが最も危ないのかも。毎日相当使うけれど、2段階認証をはじめセキュリティに力を入れている人、もしくは全くIT関連機器は利用しない方の方が安全だと思います。

ちなみにTwilioは日本では、KDDIウェブコミュニケーションズとAPIのサービス提供も行っているクラウド通信企業です。またIT系メディアのTechcrunchでも、Authyの記事が以前出ていました。Tech関連の方は結構知っていると思われる有名企業です。

2段階認証は正直面倒な部分はありますが、セキュリティを考えるとぜひ設定しておきたいものです。Authyで今は快適に使えているので、しばらくこれで様子を見てみようと思っています。

関連記事