「Google認証システム」がアカウント同期対応に 26
ストーリー by nagazou
同期 部門より
同期 部門より
Googleは24日、Android/iOS用2段階認証アプリ「Google認証システム」アップデートし、ワンタイムコードを、Googleアカウントを介してクラウド上へのバックアップに順次対応させていくと発表した。これにより端末を紛失してもロックアウトされることがなくなり、機種変更時の移行作業も不要になるという(Googleブログ、ITmedia、PC Watch)。
これまではワンタイムコードを一つの端末にしか保存できなかった。このため端末を紛失したり盗難されたりすると、2段階認証を設定したサービスやアプリにログインできなくなっていた。すでに使っているユーザーに関しては、アプリをアップデートすることでアカウント同期機能を利用できるようになるとしている。
これまではワンタイムコードを一つの端末にしか保存できなかった。このため端末を紛失したり盗難されたりすると、2段階認証を設定したサービスやアプリにログインできなくなっていた。すでに使っているユーザーに関しては、アプリをアップデートすることでアカウント同期機能を利用できるようになるとしている。
用語などのばらつきが一般人にはハードルに (スコア:3)
ワンタイム・パスワード or パスコード
iPhone 等だと「確認コード」
TOTP(Google Authenticator は HOTP 対応だったのか…)
Google認証システム or Google Authenticator
解説ページとかだと Google Authenticator が多数派に見えるけど、アイコンが変わってしまうと戸惑う人も多そう。
対応アプリが多いのもわかりにくさを助長している気がする。iPhone や macOS なら標準で対応しているけど、解説ページはほとんどない。
TOTP の SHA2 へのアルゴリズム変更も無理だろうな。普及するより先に TOTP 自体が時代遅れになりそう。
https://github.com/google/google-authenticator/wiki/Key-Uri-Format [github.com]
Currently, the algorithm parameter is ignored by the Google Authenticator implementations.
個人的には Authy を勧めている。バックアップは欲しいけど、iCloud、マイクロソフトアカウント、Googleアカウントなどパスワード管理ができるサービスとは分離した方が安心感がある。PC でも使えるのもいい。
Re: (スコア:0)
SMSやメールでの2段階認証もワンタイムパスワード呼ばわりされてるのが一番ややこしい
Re:用語などのばらつきが一般人にはハードルに (スコア:3)
SMSやメールでの2段階認証も、パスワードが使い捨てならワンタイムパスワードと呼んで差し支えないのでは?
どっちかというと同一タイムステップ(通常30秒)の間、同じパスワードが使える TOTP の方が似非ワンタイムかも。盗聴やキーロガーにも弱いわけだし。
身の回りで一番強力なのはゆうちょ銀行のハードウェアトークンかなぁ。振込先口座番号を入力させてワンタイムパスワードを生成するから、他の口座宛には絶対に使えそうにない。
突然スマホが壊れた時に (スコア:3)
と言うわけで、大抵のサイトは、「Google認証システム」が使えないときには、とか、回避方法を準備してたり、または、バックアップコードを(私が)メモしていたりで、なんとかなった。
ひとつだけ、ドメインの管理をお願いしているレジストラは、バックアップコードも(私が)紛失していて、最終的に、「パスポートのコピーを送れ」と言われて、対応して、再度アクセスできるようになった。(今回は、ちゃんとバックアップコードを記録した)
やっぱり、突然壊れると結構困る。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
ログインできなくなるの? (スコア:0)
端末紛失とかしたことないから体験したことないけど、従来のままでも認証アプリ設定時に表示される設定用コードを入力したら復旧できる(再びログインできるようになる)んじゃないの?
設定用コードをメモってなければアウトだけど。
Re: (スコア:0)
どのメモがどのアカウントかも含めて全部自分でメモするの?
大変そう…
今回みたいに自動で同期してくれた方がはるかに楽だわ
一つの端末? (スコア:0)
> これまではワンタイムコードを一つの端末にしか保存できなかった。
「アカウントのエクスポート」を使うとQRコード経由でコピーできて、複数台の端末に保存しているけど……俺が使っているのとは別のアプリなのか?
Re:一つの端末? (スコア:2, 参考になる)
QRコードでエクスポートする仕組みができる前は、バックアップを取る方法すら無かったので、記事の執筆者がそれと混同しているのかも。
私もその機能が付く前に機種絵変更したタイミングで、別のサービスに乗り換えましたし。
Re: (スコア:0)
おれもなんも考えずに機種変更して詰みかけたときに、さらに古い別の端末に入れておいたやつで認証して事なきをゲットした記憶があるのだが。
早速同期しようとしたけどアップデートは無いそうで、おれの端末にはいつになったら降ってくるのだろう?
あとmala先生が怒ってた。
https://twitter.com/bulkneets/status/1650840132994609155 [twitter.com]
Re: (スコア:0)
不思議だから原文読んだけど、「一つの端末にしか保存『されなかった』」みたいな訳になると思う。少なくとも『できない』ではなかった。
自分でコピー操作しなければその通りだし、大半の複数台持ちしない人からしたら分かりやすいから仕方ないかも。
Re: (スコア:0)
「アカウントのエクスポート」を使うとQRコード経由でコピーできて
恐らく初期のGoogle Authenticator使いの投稿でしょう
当初はエクスポート機能もなく更新も放置でGoogle Authenticatorの代替は何?的な時代がありました
スラド民的にはOSSでgithubやgitlabにあるやつで暗号化エクスポートできるのとか使ってたりするでしょうから
あの頃のGoogle Authenticatorがちっとまともになったらしいみたいなテケトー感で取り上げたというオチではないかと
Re: (スコア:0)
最初にQRコードを撮影する際に、複数の端末でパシャパシャやればいくらでも。
私はそのやり方で、スマホと、無理やりGoogleAuthenticatorをインストールしたガラホで2台持ちしてます。
端末に縛られなくなるのか (スコア:0)
セキュリティ的には弱くなりそうだけど
Re: (スコア:0)
元々縛られていないぞ?
Authyを使ってる (スコア:0)
スマホ1台しかなくてもPCがあれば安心
宝箱の中に宝箱を開ける鍵が (スコア:0)
> これにより端末を紛失してもロックアウトされることがなくなり
端末を紛失して別の新しい端末でセットアップするときにクラウド上のバックアップから復元するにはGoogleアカウントにログインする必要があるけど、ログインするには2段階認証アプリでワンタイムコードを受け取れる必要があるのではないだろうか???
Re:宝箱の中に宝箱を開ける鍵が (スコア:1)
マジレスすると原文で言ってるのは、Googleに限らないサードパーティ含むサービスからのロックアウトですね。
This change means users are better protected from lockout and that services can rely on users retaining access, increasing both convenience and security.
便利になるのは、Google Authenticatorで管理している他サービスのTOTP鍵管理です。
Googleアカウントについてはバックアップコードや追加のMFA手段、サブ端末等を設定しておく必要があります。
Re: (スコア:0)
googleが鍵を保管する=法執行機関が入手できるって部分が重要なんだと思う。
Re: (スコア:0)
GoogleアカウントにGoogleAuthenticatorによるOTPを設定するときに、表示されるバックアップコード10種類を印刷して財布に入れておけというのは表示されるし、
Googleアカウントの2FAはいまOTPだけではなく、電話による音声通知、SMS、USBセキュリティキー、Android端末に対するメッセージプッシュと、
いくつも並行して設定できる。全部まとめて失うことはそうはあるまい。
身ぐるみ剥がされる心配があるならバックアップコードを印刷して封印した上で信用できる遠隔地の親族に預けておけ。
やっと搭載されたか (スコア:0)
この機能がないせいでMicrosoft Authenticatorを使っている。
QRコードをエクスポートできただろとか言っているコメントがあるけど、数十あるサービスごとにQRコードを画像で保存するとか、
①手間がかかりすぎるし、
②ケアレスミスのおそれもあるし、
③その画像を保管する場所が問題になり、クラウドストレージに保存すればそのサービスベンダーにデータを見られるわけで、
手間と安全性が見合っておらず、なぜみんな文句も言わずGoogle Authenticatorを使ってるのか不思議だった。
ただしGoogleにsecretを知られることになるので、Google中心でデータを管理している人はちょっと見なおした方がよいかもしれない。
私はブラウザはFirefox、パスワードマネージャはBitwarden、FIDO認証はMicrosoftと分けて使ってる。
Authyでもいいんだけど、FirefoxとBitwardenを使った経験から、マイナーベンダーのアプリを使うことの苦労みたいのも結構感じるので、FIDO認証は大手にしといた。
Re: (スコア:0)
普通に鍵を文字列で表示できるんじゃ・・・Googleのはそれも出来ないの?
QRコードといっても鍵(バイナリ)を表示してるだけから、文字列化も出来るしOTIPの仕様って文字列化まで含んでたよね。
クラウドに預けるのが一番安全だよ、下手に自分で分散管理すると面倒。
だいたいgoogleに知られるって他もクラウドベンダーに知られるのは同じことだし、そもそもクラウドに置かれるのは暗号化されたデータだから知られたところでgoogleだってもどうしようもないぞ。
といいつつ、自分は複数端末にMSAuthenticator入れて個別に管理してるな。
Re: (スコア:0)
OTIPってなんだよ、OTPだ・・・書き間違えた
Re: (スコア:0)
> QRコードをエクスポートできただろとか言っているコメントがあるけど、数十あるサービスごとにQRコードを画像で保存するとか、
選択したサービスをまとめてエクスポートできるQRコードが表示されるので、別の端末のGoogle認証システムアプリで撮影すれば丸ごと取り込めます。なので
1 たいして手間は掛からない。
2 成功するか失敗するかで、ケアレスミスのしようが無い。
3 そもそも画像は保存しない。
です。
速報 (スコア:0)
Google Authenticatorのバックアップ機能はE2E暗号化されておらず重大なセキュリティリスクにさらされる可能性が高いことが判明 - GIGAZINE
https://gigazine.net/news/20230427-google-authenticator-isnt-e2e-encrypted/ [gigazine.net]
個人的にはエクスポート機能でサブ端末にバックアップを取っているので要らない機能かなぁ……