treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

Windows10Mobile用の二段階認証アプリAuthenticator

スマホ・携帯 セキュリティ WindowsPhone

Windows10Mobile用の二段階認証アプリ「Authenticator」をインストールして設定してみましたのでご報告します。

以前に「クラウドの世の中だから、なりすまし対策に2段階認証 - treedown’s Report」という記事にて二段階認証をご紹介しましたが、今回はWindows10Mobileに二段階認証アプリを導入してAndroidの認証アプリと同じ機能をWindows10Mobileで実現してみることにします。

これは?

Androidでは「Google認証システム(Google Authenticator)」アプリや「Microsoftアカウント」アプリなどで二段階認証をご利用のアカウントに設定することが可能です。
これと同機能をWindows Phone(Windows10 Mobile)で実行する場合に使います。

f:id:treedown:20160304150314p:plain

Windowsストアから「Authenticator」をダウンロードしWindows Phone(Windows10 Mobile)にインストール・設定することで、Windows Phone(Windows10 Mobile)をトークン化することができます。

Microsoftアカウントを登録してみます。

Microsoft Live IDの設定画面から利用のための設定を実行します。
「アカウント設定」⇒「セキュリティとプライバシー」⇒「その他のセキュリティ設定」と選択して画面を遷移します。
「セキュリティの設定」画面が表示されたら「認証アプリ」の項目にある「本人確認アプリをセットアップ」のリンクをクリックします。
※注:この付近に紛らわしいことに2段階認証という設定へのリンクもあるのですがそれは選択しません。「認証アプリの設定」を選択して設定を行います。

認証アプリの設定で表示する画面内のQRコード(バーコード)を「Authenticator」のスキャンで読み込みます。

これで登録が可能なのですが…。一つ注意しなければいけないことがありました。

Androidですでに登録している場合

※注:
これ以降の記述は十分に注意して実施してください。特に二段階認証を実施するためのコード生成アプリ以外の認証方式(バックアップの認証)を用意してから実施することをお勧めします。もし実施したことによってアカウントにログインできない/リカバリオプションの復旧ができない、という事態になったとしても当方では何もできません。
ご自身の責任において、事前にアカウント復旧オプションやコード以外(SMSや電話など)のログイン方法は確保してください。

Android側で既にGoogle Authenticatorなどの認証アプリにて二段階認証のコード生成を設定している場合には、
「既にAndroidで登録済みのアカウント設定をやり直す必要がある」
という点に注意が必要です。
要するに、画面上に表示されるQRコード(バーコード)を読み取る際に
Windows10MobileのAuthenticatorでスキャンした後、AndroidのGoogle Authenticatorで同じバーコードスキャンする
ということです。こうしなければ認証情報が2種類に分かれてしまいますが、古い方のトークンは利用できなくなります。例えば元々Google Authenticatorを利用していて、バーコードを生成しWindows10MobileのAuthenticatorで同一のアカウント情報を登録したとすると、Google Authenticator側の認証情報は(画面に表示され正常動作しているのですが)利用できないコードが延々生成され続けることになります。
この場合、一旦二段階認証は無効化したのち、旧Google Authenticator側でアカウント情報を一旦削除、再度二段階認証の有効化を実行してアカウント設定をWindows10MobileのAuthenticatorとAndroidのGoogle Authenticatorに対して同時に実行します。

こうして登録したGoogle AuthenticatorとMicrosoft Authenticatorでは(時差があれど)同一の6桁コードを生成するようになります。この状態であれば正常に利用可能な状態であると考えることができます。

図:2つのアプリを比較して同じコードが出ているのを確認した図

f:id:treedown:20160304150712p:plain

図ではGoogleサービス(gmail.com)が124087で同一コードが生成されています。outlook.comも048072と同一コードが生成されている様子が確認できます。
こうなっていないと、どちらかのコードは「使用できないコード」として取り扱われます。

例えば、以前に私の家族で発生した「スマホOSの再起動ループで故障⇒データ全損」という障害をご報告しましたが、もしお使いのスマホがこのように突然死してしまったとしても、サブのスマホでも二段階認証情報が使えるのであれば、一台が突然死してしまったとしても二台目のスマホで継続して二段階認証は利用可能です。
これは故障時の備えとしてなかなかに有効なのではないでしょうか?

もし有用だと思って頂けたようでしたら二種類のAuthenticatorアプリで冗長化、実施されてはいかがでしょうか。