スマホに必須!2段階認証アプリの比較とおすすめ
2019年7月1日、バーコード決済サービスの「7Pay」が、リリース直後に不正アクセスの被害を受けました。そのとき指摘されたのが、アカウント設定の際に「2段階認証」を行っていなかったということで、この「2段階認証」自体も注目されることになりましたね。
こういった決済アプリなどのアカウント設定によく使われる2段階認証方法は、パスワードでの認証に加えて、携帯電話番号にSMS(ショートメッセージサービス)で認証コードを送って入力させるという方法です。認証コードの有効時間は30分が多く長めですが、一応ワンタイムパスワード(OTP)ではあります。
今回ご紹介する「2段階認証アプリ」は、正確に言うと「2段階目の認証によく使われるワンタイムパスワード生成アプリ」ですが、「2段階認証アプリ」で認知されていますので、そう言っておきます。「Authenticator(オウセンティケイター)」も「ソフトウェアトークン」も同じものです。
「2段階認証アプリ」は一つのアプリで様々なサービスの2段階認証に登録できますので、スマホに必須のアプリと言っていいでしょう。まだ使っていないなら、ぜひこの記事を参考にしてすぐに使ってください。
おすすめを先に言っておくと、「Authy」
先に結論から言ってしまうと、現在一番おすすめの2段階認証アプリは「Authy(オウシー)」です。その理由は、使う使わないは自由ですが、一番機能が充実していて、ユーザーインターフェイスも良く使いやすいからです。
2段階認証を設定するサービス側では、「Google認証システムを使って」とガイドしているところが多いので、当然指示通りにする人が多いですが、他の3つでも全然問題ないので、心配しないでください。
では具体的に何が違うのか見ていきましょう。
2段階認証アプリの機能比較
今回比較する2段階認証アプリは、「Authy(オウシー)」「Google Authenticator(Google認証システム)」「Microsoft Authenticator」「IIJ SmartKey」の4つです。私自身これら以外は知らないし、現状では他を探す必要もありません。
2段階認証アプリは、アプリと設定しているサービス各社のサーバーが常時通信しているわけではなくて、双方が同じルールで同じタイミングで、一致するパスワードを生成しています。ほとんどは30秒ごとにそれぞれで更新する仕様になっています。
このような2段階認証アプリの基本的な機能は同じですので、アプリによる違いはそれに付随する機能や、画面のインターフェイスなどになります。
4つの2段階認証アプリでの具体的な機能の違い
比較する機能は次の4点ですが、機能がたくさんあっても全部使ったほうが良いとは限りません。利便性とリスクはトレードオフの関係になることが多いので、使うか使わないかはご自身で判断してください。
設定情報をバックアップから復元することができる
バックアップがあると機種変更時の移行がかなり楽です。複数の端末に入れておくことも簡単にできます。
私は元々Google Authenticatorを使っていたのですが、iPhoneの機種変更の際に、2段階認証の設定を各サービスごとに一つ一つやり直さなければならず、すごく面倒でした。それで他に乗り換えようと思って全部使ってみたのです。
結局どの端末でもバックアップと復元ができるのは「Authy」のみ。
「Microsoft Authenticator」はバックアップ先がiCloudで、iOS端末のみ対応しています。
「IIJ SmartKey」は一括バックアップはありませんが、登録している設定情報を一つずつ、QRコードを表示させて、他の端末で読み取りコピーすることはできます。これでも無いよりマシ。
アプリケーションロックがかかる
スマホを開くときにパスコードまたは指紋認証や顔認証を使用しますが、アプリを開くときにも認証をかけるのが、アプリケーションロックです。「Authy」「Microsoft Authenticator」「IIJ SmartKey」の3つは対応しています。
PCでも使える
これは「Authy」だけの特徴で、Windows版、Mac版アプリと、Chrome拡張機能があります。
画面が見やすく使いやすい
主観的な面もありますが、例えば「Authy」は各サービスのロゴ画像を使って視覚的に分かりやすくしています。「IIJ SmartKey」も似たような画面構成ですが、ロゴではなく用意されたアイコンのみで、登録数が増えると横スライドして探すのがしんどいです。
また、「Authy」「Microsoft Authenticator」「IIJ SmartKey」の3つは残り秒数のカウンターが付いている。最低限、コードを簡単にコピー&ペーストできるのはどのアプリでも可能。
機能比較一覧表
機能比較表で一覧にしました。
| アプリ名 | バックアップ | アプリロック | PC版 | 画面 |
|---|---|---|---|---|
| Authy(オウシー) | ◎(PW保護) | ○ | ○ | ◎ |
| Microsoft Authenticator | ○(iOSのみ) | ○ | × | △ |
| IIJ SmartKey | △QRコピー | ○ | × | ○ |
| Google Authenticator | × | × | × | × |
いかがですか?機能比較で「Authy」が最も優れているのが分かるでしょう。
おすすめ順に各アプリへのコメント
Authy(オウシー)
セキュリティ情報を扱うので、どこの会社が作っているのか気になるでしょう。
Authyを提供しているのは、「twilio(トゥイリオ)」という会社で、音声・ビデオ・SMS・チャットなどを使ったコミュニケーションシステムやアプリを簡単に構築するための、API(※1)を供給しているグローバル企業です。
※1.「API」とは「Application Programming Interface」の略。あるシステムに外部から接続して簡単に使えるようにするための、連携プログラムモジュール。
Authyはtwilioの認証用APIで作られたアプリです。コンピュータゲームに特化したプラットフォーム「Twitch」もtwilioのAPIで構築されているというくらいなので、全然大丈夫ですよ。
Authyのバックアップはクラウドのサーバーに格納されますが、自分でパスワードを設定しますので絶対に忘れないようにしてください。このバックアップを使って他の端末にインストールしたAuthyと同期します。
Authyには、iOS版とAndroid版はもちろん、PCのWindows版、Mac版、ブラウザのChrome拡張機能もあります。
PC版があると確かに便利ですが、多くのサービスでは「この端末は信頼して2段階認証をパスする」という機能がありますので、使う機会は少ないかもしれません。
特にChrome拡張は、Chromeにログインすればどこの端末でも同期するので、便利な半面リスクも感じますね。
Authyの画面は、各サービスのロゴを表示してくれるので、とても分かりやすくていいです。残り何秒で認証コードが変わるかも分かります。アプリケーションロックもかかるので、私はiPhoneのFaceID(顔認証)を使っています。
日本語は未対応ですが、簡単なアプリですから英語でも全然問題ないですよ。
不具合対応やリクエスト対応なども速くて、アップデートを頻繁に行っているのもいいですね。
Microsoft Authenticator
言わずと知れたMicrosoftの2段階認証アプリ。設定情報のバックアップと復元ができるのですが、バックアップ先がなぜかiCloudで、iOS端末しか対応していません。MicrosoftアカウントとiCloudアカウントが必要です。
画面のレイアウトはGoogle Authenticatorと似ていますが、一つ一つの認証コードの表示・非表示が可能です。また、アプリケーションロックも設定できますし、認証コードの残り秒数も分かります。シンプルですし、iPhoneユーザーならMicrosoft Authenticatorもありかもしれません。
IIJ SmartKey
IIJは、様々なインターネットサービスを提供していて、最近では格安スマホのIIJmioが有名な日本企業です。
IIJ SmartKeyは、バックアップ機能はありませんが、設定情報のエクスポート機能でQRコードを表示させることができます。機種変更の際は、これを一つ一つ読み取ってコピーすればよいわけですね。一つ一つは手間ですが、Google Authenticatorのようにサービス側で変更するよりはマシです。
画面はAuthyのように、設定しているサービスを選んで大きく表示させる仕様ですが、サービスのロゴではなくてあらかじめ用意されたアイコンから選ぶので、一見区別がつきにくいです。また、一列に並ぶので数が増えると探すのがおっくう。
トークン(認証コード)を入力せずにログインできる「スライド認証」という機能がありますが、サービス側がほとんど対応していないので、使えないと思ったほうがよいです。
アプリケーションロックは設定できますし、認証コードの残り秒数も分かります。
気になるのは、アプリのレビュー評価を見ると、不具合の報告がいくつもあるにもかかわらず、2018年5月を最後にアップデートされていないこと。IIJさんもこのアプリに対してはあまり注力していないのでは?
Google Authenticator
Google Authenticator(Google認証システム)は、機種変更時の移行が大変です。iPhoneの「バックアップから復元」などでは設定情報まで移行できません。
Googleアカウントは、アカウントのセキュリティ画面から新しい端末へ移行します。それ以外のサービスはそれぞれの2段階認証設定画面で一旦解除してから再設定になります。
2段階認証アプリの定番だったので、利用者は一番多いと思いますが、大きなバージョンアップがない限り、他に乗り換えたほうが便利と思いますよ。
2段階認証アプリが使えるサービスは
2段階認証アプリはTOTP(Time-based One-time Password )の標準規格を採用していますので、サービス側がTOTP規格に対応していれば、どのアプリを使っても2段階認証の設定ができます。
GoogleアカウントやMicrosoftアカウントの他、bitFlyerやCoincheckなど主要な仮想通貨取引所、Amazon、YAHOO、Facebook、Twitter、Instagram、Paypal、Dropbox、Evernote、Slackといった多くのサービスで2段階認証アプリによる設定が可能です。
ちなみに銀行のインターネットバンキングなどでは、違った規格で独自のアプリを提供していたり、物理的なワンタイムパスワード生成器(※2)を配布したりしていますので、各金融機関の方法に従ってください。
※2.ゆうちょ銀行やジャパンネット銀行などではワンタイムパスワード生成器を配布していますが、これを「ハードウェアトークン」あるいは単に「トークン」と呼ぶこともあります。
不正ログインでアカウントを乗っ取られないように、できるだけ2段階認証を設定しておきましょう!
