2段階認証ノススメ (まとめ)

(2013-08-07 更新あり)
主要なサービスで 2段階認証に対応する動きが拡がってきたので、ちょっとまとめておきます。金融系のサービスやマイナーなものはいれてません*1。こうやって並べて比べてみると、細かいところで違いがあっておもしろいですね。なお現時点で AppleTwitterは日本ではまだ正式対応されていません。
(注: Twitterは 8/7にアプリを利用した認証方式に対応し、日本でも利用できるようになりました。)

サービス 名称 認証アプリ SMS/メール/音声 アプリ用パスワード 信頼できる端末 復旧用コード
Apple 2段階認証 (two-step verification) ◯ (*1) SMS (*4) -
Dropbox 2段階認証 (two-step verification) ◯ (TOTP) SMS -
Evernote 2段階認証 (two-step verification) ◯ (TOTP) SMS
Facebook ログイン承認 (Login Approvals) ◯ (TOTP) (*2) SMS
Google 2段階認証 (2-step verification) ◯ (TOTP) SMS, 音声
Microsoft 2段階認証 (two-step verification) ◯ (TOTP) SMS, メール -
Twitter 2段階認証 (login verification) ◯ (*6) SMS (*5) -
Yahoo! Japan ワンタイムパスワード ◯ (TOTP) (*3) メール - -

(補足)
(*1) iCloudの Find My iPhone機能を利用するので、正確には認証アプリではない。iOSのみ対応。
(*2) Facebookアプリ (iOS/Android) 内に実装された Code Generatorという機能を利用するが、外部の別のアプリを登録してもよい。
(*3) アプリ登録用の QRコードが独自の URLスキーム (yjotp) なため、アプリが対応していないとそのままでは登録できない。たとえば Google認証システムは未対応のため、手入力で登録する必要がある。
(*4) 現在はアメリカ、イギリス、オーストラリア、ニュージランド、アイルランドのみ対応。
(*5) 現在は日本の携帯キャリアには未対応。
(*6) Twitterの公式アプリ (iOS/Android) でログインの承認/拒否を選択できる独自の方式を採用している。


(各カラムの説明)

認証アプリ
認証コードを生成する専用のアプリが利用できるか。ほとんどのサービスが TOTP (Time-Based One-Time Password Algorithm)*2に準拠しており、これに対応したアプリを利用できる。Google認証システム (Google Authenticator)*3Microsoft Authenticatorなどベンダ純正のものや、HDE OTPなどサードパーティ製のものもある。
SMS/メール/音声
認証アプリを使わない場合に認証コードを受信する方法。SMSには携帯キャリアメールも含む。日本の携帯キャリアに対応していないところもある。
アプリ用パスワード
2段階認証に対応していないアプリからログインを行うために、アプリ専用のパスワードを生成する機能。
信頼できる端末
よく使う端末(ブラウザ)を登録しておくと、その端末からのログインでは2段階認証を無効にできる機能。
復旧用コード
スマホの紛失などにより2段階認証用のコードを受信できなくなった場合に、ログインして復旧するための緊急用コードを生成する機能。


(参考情報)

Yahoo! Japan

ワンタイムパスワード(OTP) - Yahoo! JAPAN IDガイド
Yahoo! JAPAN IDに関するヘルプ - ワンタイムパスワードとは


ここで紹介したサービスは全て自分で検証したものなので多分大丈夫だとは思いますが、もし間違いを見つけたら是非教えてください。


(2013-08-07 追記)
8月 6日 (日本時間では 7日) から Twitterが公式アプリを利用した認証方式に対応したため、記事の内容を一部更新しました。

*1:ここに取り上げたもの以外に、例えば AWS, LastPass, LinkedIn, PayPal, Yahoo!なども 2段階認証または多要素認証に対応している。

*2:数字 6桁のパスワードが 30秒毎に生成される。

*3:実は Google Authenticatorは TOTPだけではなく HOTPにも対応している。

Remove all ads