Google認証システム(TOTP準拠のワンタイムパスワード)はどこのサイトで利用できるのかまとめてみた

4,332 ビュー

概要


「Google Authenticator」というソフトを利用して、いわゆる2 段階認証プロセスを使うことができるんですが、実際にどこのサイト(サービス)で利用できるのかまとめてみました。
(ちなみに、私自身が使うサービスに限ります。)

簡単な仕組み


そもそもGoogle認証システムとは何ぞやというと、普通どこかのサイトにログインしようとすると「ユーザーID」と「パスワード」で認証をすると思います。
万が一、上記2つが流出してしまうといとも簡単に第3者に乗っ取られてしまうのですが、この2段階認証であるGoogle認証システムを加えるとこのアプリで30秒ごとに変化する6桁の確認コードを別途入力しないと認証が完了しない仕組みを加えることができます。
このアプリですが、TOTP(Time-based One-Time Password algorithm)という仕組みを利用していますので、QRコードさえ保存しておけば他の端末にも導入が可能です。
実際に何でGoogleのアプリで作り出せる確認コードがいとも簡単に他のサイトで利用できるの…?といった難しいことは「Google 認証システムの仕組み」を見てみてください。
簡単に言うと、時間と秘密鍵で計算している感じですかね…


先にも言った通り、QRコードは再度表示されない場合がほとんどなので何かあった際の予備は用意しておきましょう。
私は

  • メイン端末
  • 家用の端末
  • QRコードの印刷

で備えています。(とは言え、保管や端末を増やすとセキュリティー強度にかかわるので慎重に)

管理についてのおまけ

最近のパスワード管理ソフトでたとえば「1Password」や「Enpass」内の機能でもTOTPを管理することができます。
アカウント・パスワード・ワンタイムパスワードが一括で管理できかつGoogle Drive等を利用してのほかの端末との同期がとれて超便利ジャン!と思いませんか?
でもそれはちょっと待ってください。

せっかくのワンタイムパスワードをすべて同じとこで管理するのってセキュリティ的にだめですよね?
だって、パスワード管理ソフトが仮に流出したらすべてばれちゃうわけですし。
こういった2要素認証の管理は別々にしておいたほうがセキュリティ的には好ましいです。

さてさて、以下が(私が)Google認証システムを利用できるサイトになります。

TOTPが利用できるサイト

Amazon


「アカウントサービス」→「ログインとセキュリティ」→「高度なセキュリティ設定」→「2段階認証」から設定が可能

Microsoft


「セキュリティ」→「その他のセキュリティオプション」→「2段階認証」

WordPress


Google Authenticator」というプラグインを利用すれば可能。

Google


「Googleアカウント」→「ログインとセキュリティ」→「2段階認証プロセス」→「認証システム アプリ」

LinuxとかのSSH

いろいろパッケージを入れればできる。

Humble Bundle


「SETTINGS」→「Two-Step Verification」

UBI


「アカウントマネジメント」→「2段階認証」

WARGAMING


「アカウント管理」→「第 2 認証ファクター」

さくらインターネット


「会員メニュートップ」から「二段階認証の設定」

Discord


「マイアカウント」から「2段階認証」

Yahoo!

Yahooの場合一癖あり

Yahooにてワンタイムパスワードを使用する場合一応専用のアプリケーション(Yahoo! JAPAN ワンタイムパスワード)が必要となります。
ただ、このアプリケーションもほぼTOTP準拠で動いているため「Google認証システム」に纏めることができます。
ただし、一癖あるのと公式のやり方ではないのでリスクがある点に注意を。

登録コードを手打ちするパターン

もっとも簡単ですが綺麗に(見た目が)登録はできません。
「登録情報」→「ログインとセキュリティ」→「ワンタイムパスワード」→「アプリ」→「バーコードの読み取りがうまくいかない場合(手動で設定)」→「登録コード」を手動入力

QRコードで頑張るパターン

面倒ですが綺麗に(見た目が)登録できます。
スマホだとアプリ起動で自動登録となるのでPCが必要になります。
また、外部のサイトを別途使ったりと手間がかかる分漏えいのリスクもあります。
「登録情報」→「ログインとセキュリティ」→「ワンタイムパスワード」→「アプリ」→「バーコードの読み取りがうまくいかない場合(手動で設定)」→「登録コード」
で表示された登録コードがトークンになります(スペースは不要)。

それを下記に書き換えます。見た目的なものはお好みでどうぞ。

書き換えが終わったら、QRコードを作成してくれる外部サイトをググってそれを読み込めばうまくいくはずです。
ただし、最初に言いました通り大事なトークンは外部サイトを利用する時点でもろばれになる場合がありますので注意してください。
と言っても、普通の人ならほぼリスクはゼロに近いかとは思いますが…

無事に登録できたら

上記2パターンで無事に登録できたら本当に使えるかどうかを「アプリの設定確認」にて確認しておいてください。
また、「復帰用メールアドレス」の設定もお忘れなく。

ちなみにですが、表示されるQRコードを読み解くとこんな感じで書かれてます。
なんでこうしてるんですかね。

 

最後に

最近何かと2段階認証2段階認証といろいろ言われてはいますが、いたずらにトークンやらアプリやらが増えてくるとどうも管理がめんどくさくなっちゃうのでこういったTOTP準拠でのワンタイムパスワードが利用できると纏められるので便利ですよね。
とはいうものの一見最強そうに見えるこのシステムですが「盗聴(キーロガー)」と「リプレイ攻撃」には脆弱ですのでご注意を。使い勝手と強度を気にしたらきりがないんですがね…