スマホを「鍵」にする二要素認証で「合鍵」を作れるアプリはありかなしか？：半径300メートルのIT（1/2 ページ）

IIJが二要素認証用のワンタイムパスワード管理アプリをiOS／Android OS向けに無料で公開しました。さっそく使ってみると「便利だな」と同時に「リスクかも」と思うのです。

[宮田健，ITmedia]

　本連載でもたびたび「二要素認証」を取り上げています。Webサービスへのログインに使うIDとパスワードの組み合わせに加えて、所有するスマホにWebサービスからメールやSMSを使ってランダムな数字を送ってもらい（あるいはアプリに表示させて）、それを入力するという方法です。この場合では「その人だけが知っているパスワード」と「その人しか持っていないデバイス」という2つの要素を使うので二要素認証となるわけです。

　さまざまなWebサービスでの「同一パスワードの使いまわし」が問題になっています。多くのWebサービスではIDを登録メールアドレスにしているので、どこかのWebサービスでパスワードが流出したらほぼすべてのWebサービスに不正ログインされる可能性が高まるからです。

　とはいえ、実際には複数の異なるパスワードを管理するのは難しいでしょう。となると、二要素認証の重要性が高まるはずなのですが、やはり「面倒くさい」という理由で普及が進んでいるとはいえない状況です。

　サービス提供者もそのあたりの背景は理解しているようで、さまざまな施策を打っています。今回はIIJが4月3日にリリースした二要素認証用ワンタイムパスワード管理アプリ「IIJ SmartKey（参照リンク）」の使い勝手を検証してみます。

どのアプリでも表示される内容に変わらない

　Webサービスにログインしようとすると、IIJ SmartKeyには6けたの数字がワンタイムパスワードとして表示されます。これは「時間」をベースにして数字を作り出す「Time-based One-time Password」という仕様（RFC 6238）に従っていて、通信することなく数字を生成します。ということは、これまで筆者が使っていたグーグルのアプリ「Google 認証システム（参照リンク）」と表示されるものは変わりません。

　何か目新しい要素はないものかと探してみると、1つ面白い機能がありました。それは「設定のエクスポート」です。IIJ Smartkeyは、スマホを機種変更してもワンタイムパスワードを生成するための情報を引き継げるのです。

IIJ Smartkey（出典：IIJ）

　具体的には、旧端末で設定したサービスごとに「設定エクスポート」をタップすると、現在の設定が二次元バーコードとして表示されます。これを新端末側のIIJ Smartkeyで読み取ることで、まったく同じ認証コードを取得できるようになります。

　試しに筆者が使っているAndroid端末から、サブで使っているiOS端末に設定をコピーしてみました。すると両方のアプリにはまったく同じ数値が表示され、それを使ってiOS端末からでもWebサービスにログインできることを確認しました。

※「Google 認証システム」でも各種サービスの二要素認証をオフにし、再度オンにしたときに表示される二次元バーコードを複数の端末でスキャンすることで同様の結果が得られます（参照リンク）。

AndroidとiPhoneで同じ数値が表示されているのが分かります

　SMSやキャリアメールを使った二要素認証では、海外に行ったときに受け取れるかどうか不安です。二要素認証アプリを使っていればどこでも表示できますが、デバイスをなくしたときに面倒です。二要素認証アプリを2台の端末で同期させるというのは面白い解決策かもしれません。