コラム
» 2015年04月07日 12時00分 UPDATE

半径300メートルのIT:スマホを「鍵」にする二要素認証で「合鍵」を作れるアプリはありかなしか? (1/2)

IIJが二要素認証用のワンタイムパスワード管理アプリをiOS/Android OS向けに無料で公開しました。さっそく使ってみると「便利だな」と同時に「リスクかも」と思うのです。

[宮田健,ITmedia]

 本連載でもたびたび「二要素認証」を取り上げています。Webサービスへのログインに使うIDとパスワードの組み合わせに加えて、所有するスマホにWebサービスからメールやSMSを使ってランダムな数字を送ってもらい(あるいはアプリに表示させて)、それを入力するという方法です。この場合では「その人だけが知っているパスワード」と「その人しか持っていないデバイス」という2つの要素を使うので二要素認証となるわけです。

 さまざまなWebサービスでの「同一パスワードの使いまわし」が問題になっています。多くのWebサービスではIDを登録メールアドレスにしているので、どこかのWebサービスでパスワードが流出したらほぼすべてのWebサービスに不正ログインされる可能性が高まるからです。

 とはいえ、実際には複数の異なるパスワードを管理するのは難しいでしょう。となると、二要素認証の重要性が高まるはずなのですが、やはり「面倒くさい」という理由で普及が進んでいるとはいえない状況です。

 サービス提供者もそのあたりの背景は理解しているようで、さまざまな施策を打っています。今回はIIJが4月3日にリリースした二要素認証用ワンタイムパスワード管理アプリ「IIJ SmartKey(参照リンク)」の使い勝手を検証してみます。

どのアプリでも表示される内容に変わらない

 Webサービスにログインしようとすると、IIJ SmartKeyには6けたの数字がワンタイムパスワードとして表示されます。これは「時間」をベースにして数字を作り出す「Time-based One-time Password」という仕様(RFC 6238)に従っていて、通信することなく数字を生成します。ということは、これまで筆者が使っていたグーグルのアプリ「Google 認証システム(参照リンク)」と表示されるものは変わりません。

 何か目新しい要素はないものかと探してみると、1つ面白い機能がありました。それは「設定のエクスポート」です。IIJ Smartkeyは、スマホを機種変更してもワンタイムパスワードを生成するための情報を引き継げるのです。

IIJ Smartkey IIJ Smartkey(出典:IIJ)

 具体的には、旧端末で設定したサービスごとに「設定エクスポート」をタップすると、現在の設定が二次元バーコードとして表示されます。これを新端末側のIIJ Smartkeyで読み取ることで、まったく同じ認証コードを取得できるようになります。

 試しに筆者が使っているAndroid端末から、サブで使っているiOS端末に設定をコピーしてみました。すると両方のアプリにはまったく同じ数値が表示され、それを使ってiOS端末からでもWebサービスにログインできることを確認しました。

IIJ Smartkey AndroidとiPhoneで同じ数値が表示されているのが分かります

 SMSやキャリアメールを使った二要素認証では、海外に行ったときに受け取れるかどうか不安です。二要素認証アプリを使っていればどこでも表示できますが、デバイスをなくしたときに面倒です。二要素認証アプリを2台の端末で同期させるというのは面白い解決策かもしれません。

       1|2 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ