TOTPによる2段階認証 アカウントを守るための不可欠な盾、それが「SMS」です。定期的に変更され、パスワードに加えて入力する必要がある第二のコードです。この記事では、アプリの比較、設定のヒント、そして実際の使用例を網羅した包括的なガイドをご紹介します。使い方に迷うことがないよう、詳細かつユーザーフレンドリーな方法で解説しています。
単純なリストを超えて、ここには 実用的な情報 最適なTOTPアプリを選ぶには、人気のサービス(GitHub、Bitwarden、Nextcloudなど)への設定方法を学び、Node.jsを使ってバックエンドに実装する方法を理解し、アカウントにアクセスできなくなるようなよくあるミスを避けることが重要です。それでは早速始めましょう。
TOTPとは何か、そしてなぜ今すぐ有効化すべきか
TOTP (時間ベースのワンタイムパスワード) これは時間ベースのワンタイムパスワードを生成するアルゴリズムです。アプリとサーバーは秘密鍵を共有し、システムクロックを使用して同じコードを計算します。このコードは通常30秒ごとに更新されます。オフラインで動作するため、 高速で信頼性が高く、非常に快適です、パスワードが漏洩した場合でも攻撃を阻止する第 2 層を追加します。
2FAにはいくつかの方法(SMS、メール、生体認証、物理キー、プッシュ通知など)がありますが、 TOTPアプリは通常最もバランスの取れた選択肢です プライバシー、可用性、そしてコントロールのために。注:SMSは緊急時には役立ちますが、特に米国以外では、それほど堅牢で信頼性が高くありません。
始める前に知っておくべき重要なヒント
まず、 アプリから 2FA アカウントを削除しないでください。 サービスのウェブサイトから無効化せずに使用しないでください。永久にブロックされてしまう可能性も高くなります。次に、 回復コード 利用可能な場合はいつでもバックアップしてください。3つ目は、バックアップを計画することです。暗号化されたクラウドバックアップを備えたアプリを選択するか、暗号化されたファイルにエクスポートするか、アカウント同期を使用して、スマートフォンの切り替え時にトークンが失われないようにします。
現実についてのメモ: 39秒ごとにサイバー攻撃が発生している 世界中どこにいても。TOTPを使った2FAの有効化は2分もかからず、セキュリティを強化できます。代替手段として物理的なセキュリティキーも追加すれば、その手間は大幅に省けます。
TOTPアプリの選び方:何に注意し、何を避けるべきか
最高のアプリは セキュリティ、使いやすさ、エクスポート/バックアップ クロスプラットフォームの互換性も重要です。生体認証やPINで保護できること、画面上のコードを非表示にできること、暗号化されたバックアップや安全なエクスポートが利用できることが鍵となります。複数のオペレーティングシステムをご利用の場合は、 Android、iOS、デスクトップ間の同期.
何から逃げるべきか?バックアップやエクスポート機能のないアプリ、 プラットフォーム間の互換性のないコピー (iOSとAndroidを切り替えて使用する場合)、電話番号が必要ないのに電話番号を要求するものなど、細かい点が危機的状況において大きな違いを生みます。
TOTP認証アプリの完全比較
以下に概要を示します 最高のガイド、ドキュメント、専門的な分析で最も頻繁に登場するツールの最も関連性の高い機能とニュアンスを備えています。
Google 認証システム(Android、iOS)
それは古典的な参考文献です: 無料、シンプル、アカウント不要1つのQRコードですべてのトークンを一括エクスポートし、別のスマートフォンに移行できます。iOSでは、Face ID/Touch IDでアクセスを保護し、トークンを検索できます。ネイティブのクラウドバックアップがなく、コードが常に非表示になるわけではないため、公共の場では扱いにくい場合があります。 クラウドを望まない方に最適 シンプルさを優先します。
Microsoft Authenticator (Android、iOS)
パスワードマネージャーとTOTPを組み合わせ 生体認証/PIN保護、コード隠蔽 クラウドバックアップ。弱点:iOSとAndroidのバックアップは 互いに相容れないはトークンをエクスポートせず、多くの容量(150~200MB)を消費します。Microsoftエコシステムを使用している場合は、ログインがはるかに簡単になります。
Twilio Authy (Android、iOS、Windows、macOS、Linux)
マルチプラットフォームのスター: 完璧に同期する モバイルとデスクトップ間でのクラウドバックアップとPIN/生体認証による保護。電話番号によるアカウント作成が必要で、モバイルインターフェースには 一度に1つのトークンは、アカウント数が多いと機敏性が劣ります。トークンのエクスポート/インポートはできませんが、Google/Microsoftの代替手段としては、最も優れた選択肢の一つです。
Duo モバイル (Android、iOS)
企業で非常に人気があり、 シンプルでクリーンなインターフェースコードを非表示にし、新しいアカウントを作成せずにGoogle Cloud(Android)またはiCloud(iOS)へのバックアップを可能にします。アプリにはアクセス保護はなく、 iOS/Android版はサポートされていません 相互に互換性があります。プラットフォームを変更する予定がない場合は、問題なく使用できます。
無料OTP(Android、iOS)
オープンソースプロジェクト、 ミニマリストで非常に軽い (2~3 MB)。クラウドストレージやトークンのエクスポートはできません。iOSでは、手動キーによるトークンの作成はできません(QRコードのみ)。iOSでは、Face ID/Touch IDでトークンを保護できます。コードはデフォルトで非表示になり、30秒間操作がないと非表示になります。 ミニマリズムとプライバシーを重視する人向け.
andOTP(Android)
非常に完全かつオープンソース: PIN/パスワード/指紋ロック、ラベル、検索非アクティブ状態による自動非表示・ロック機能、すべてを削除できる「パニックボタン」、暗号化ファイル(例:Googleドライブ)へのエクスポート機能など、多くの機能を備えています。現在はサポートが終了していますが、依然として非常に堅牢です。 リスク: : キーの回復が容易であるためには、アクセスの非常に優れた保護が必要です。
Aegis Authenticator (Android)
現代のオープンソースの代替品、 無料、暗号化、生体認証付き バックアップオプションも充実しています。Authy/andOTPやほぼすべての2FAフォーマットからのインポートをサポートしています。一部の強力な機能はルート権限が必要なため、誰もが利用できるわけではありません。 バランスが良い セキュリティと使いやすさのバランス。
OTP認証(iOS、macOS)
Appleにとって強力: 整理するためのフォルダファイルへのエクスポート、キー/QRトークンの読み取り、iCloud同期、Face ID/Touch IDまたはパスワード保護。コードの非表示機能は提供されておらず、macOSでは一部の機能が有料です。iPhone/Macでは、 最も完全な.
ステップ2(iOS、macOS)
ミニマリスト、 iCloud同期 Apple Watchにも対応しています。アクセス保護、コード隠蔽、トークンのエクスポート/インポート機能は提供されておらず、無料版ではトークンが10個までに制限されています。macOSでは、QRコードを読み取るためにスクリーンショットの許可が必要です。 非常にシンプルなものが欲しい場合に最適です Appleエコシステムにおいて。
WinAuth (Windows)
ゲーマー向け: トークンをサポート 非標準 標準のTOTPに加えて、Steam、Battle.net、Trion/Gamigoにも対応しています。データの暗号化、プレーンテキストまたは暗号化ファイルでのエクスポートが可能です。 パスワードまたはYubiKeyで保護する 自動的にコードを非表示にします。これはWindowsにのみ存在し、原則として PCでは2FAは推奨されませんしかし、ゲームにとっては宝石です。
認証アプリ(Appleエコシステム)
iPhone、iPad、Mac、Apple Watch用のアプリを備えたチェッカー、そして ほぼすべてのブラウザの拡張機能 (Safari、Chrome、Brave、Tor、Vivaldiなど)。無料版は非常に機能が制限されていますが、有料版ではバックアップと同期機能が追加されます。暗号化、 家族と共有する Face IDでロックできます。Apple製品をお持ちの方は、ぜひご検討ください。
2FAS(2FA認証システム)
単純、 無料、E2E暗号化付きオフラインでも動作し、キーまたはQRコードでトークンをリンクしてGoogleドライブと同期できます。トークンを紛失しないようにバックアップ機能、ブラウザ拡張機能、PIN/生体認証機能、広告なし。高度なオプションはいくつかあります。 しかし、非常に信頼できる 日々のために。
1Password(TOTP内蔵)
有料のパスワードマネージャー 2FA TOTPを含む 統合されています。大きな利点は、対応サイトでのコード自動入力と統合認証情報管理です。純粋な2FAアプリではありませんが、すでに1Passwordをご利用の場合は、 それはあなたの人生をシンプルにします モバイル、デスクトップ、ブラウザで。
Bitwarden (統合された TOTP を使用)
オープンソースでシングルユーザー向けには無料。有料版ではTOTPが追加されます。 ウェブサイトやアプリのオートコンプリートデフォルトでは6桁のコード(SHA-1、30桁)を生成し、TOTP URIを編集することでパラメータをカスタマイズできます。ブラウザ拡張機能でこのオプションを有効にすると、オートコンプリート後にTOTPがクリップボードにコピーされます。 とても丸い パスワードと2FAを一元管理します。
TOTP 認証子 (BinaryBoot)
すっきりとしたインターフェースと2FAサービスの広範なサポート。 クラウド同期プレミアム Googleドライブ(データの管理は自分で)、ブラウザ拡張機能(プレミアム)、ダークテーマ、 タグと検索、クロスプラットフォームサポート(Android / iOS)、マルチデバイス使用(暗号化されたバックアップ)、複数のウィジェット、アイコンのカスタマイズ、 生体認証セキュリティ スクリーンショットをブロックするオプション付き。無料版には多少の機能制限があります。
プロテクティマス スマート OTP
AndroidとiOSで利用可能、Androidウォッチと互換性あり、 複数のプロトコルをサポート PINでアプリを保護できます。あまり知られていませんが、様々な標準規格に対応し、 ウェアラブルでの使用.
ハウツーガイド:人気サービスでTOTPを有効にする方法
具体的な指示を出していきましょう。 公式文書から抜粋 迷うことなくTOTPを設定できます。
GitHub で TOTP を構成する (TOTP アプリまたは SMS、追加の方法を使用)
GitHubでは以下を使用することを推奨しています クラウドベースのTOTPアプリとセキュリティキー SMSの代わりにバックアップとして2FAをご利用ください。2FAを有効にすると、アカウントは28日間の認証期間に入ります。認証プロセスに失敗した場合は、28日目に2FAの入力を求められます。問題が発生した場合は、再設定できます。
- ステップバイステップのTOTP: ユーザー設定 → パスワードと認証 → 2FAを有効にする → TOTPアプリでQRコードをスキャンするか、手動設定キーを使用します(TOTP、GitHubラベルを入力: 、GitHub Issuer、SHA1、6桁の30秒)。現在のコードで検証し、ダウンロードしてください。 回復コード.
- 代替手段としてのSMSCAPTCHAを通過した後、電話番号を追加し、SMSで受信したコードを入力して、リカバリーコードを保存します。TOTPが使用できない場合にのみ、この方法を使用してください。
- パスキーすでに TOTP アプリまたは SMS 経由の 2FA を使用している場合は、パスキーを追加して、2FA 要件を満たしながらパスワードなしでログインします。
- セキュリティキー(WebAuthn)2FAを有効にしたら、対応するキーを登録してください。これは2要素認証としてカウントされ、パスワードの入力が必要です。紛失した場合は、SMSまたはTOTPアプリをご利用ください。
- GitHubモバイル: TOTPまたはSMSを取得したら、モバイルアプリで プッシュ通知; TOTP に依存せず、公開鍵暗号化を使用します。
TOTPアプリがあなたに合わない場合は、 SMSをプランBとして登録する そして、セキュリティ キーを追加することで、複雑化することなくセキュリティの水準を高めることができます。
Bitwarden Authenticator: 生成、自動入力、そしてコツ
Bitwarden は 6 桁の TOTP を生成します SHA-1と30秒ローテーションブラウザ拡張機能(カメラアイコン)からQRコードをスキャンするか、iOS/Androidでコードを手動で入力できます。設定が完了すると、アイテム内に回転するTOTPアイコンが表示され、パスワードと同じようにコピーできます。
オートコンプリート「ページ読み込み時に自動入力」を有効にすると、ブラウザ拡張機能によって TOTP が自動的に入力されるか、自動入力後にクリップボードにコピーされます。モバイルでは、ログイン情報が自動入力された後にコードがクリップボードにコピーされます。
コードが機能しない場合は、 デバイスのクロックを同期する (Android/iOSでは自動時刻のオン/オフ、macOSでは日付/時刻とタイムゾーンは同じです。)サービスで異なる設定が必要な場合は、 URI otpauth 項目内で数字、期間、またはアルゴリズムを手動で調整します。
iOS 16以降では、Bitwardenを次のように設定できます。 デフォルトアプリの検証 カメラでコードをスキャンする場合:設定 → パスワード → パスワードオプション → Bitwardenで認証コードを設定 → Bitwarden。スキャンしたら、「Bitwardenで開く」をタップして保存してください。
Microsoft Azure/Office 365アカウントの場合: 2FA設定時に「別の認証アプリMicrosoft Authenticatorの代わりに「https://www.bitwarden.com/authentication/」と入力し、BitwardenでQRコードをスキャンしてください。Steamの場合は、プレフィックス付きのURIを使用してください。 steam:// 秘密鍵を入力してください。コードは 5文字の英数字.
Nextcloud: TOTPとバックアップコード
インスタンスが2FAを有効にしている場合、個人設定で以下が表示されます。 秘密コードとQRコード TOTPアプリでスキャンして生成し保存します バックアップコード 安全な場所(携帯電話自体ではなく)に保存してください。2 番目の要素を紛失した場合に、トラブルから逃れることができるからです。
ログイン時にブラウザにTOTPパスワードを入力するか、別の2つ目の認証方法を設定している場合はそれを選択してください。WebAuthnをご利用の場合は、 同じトークンを再利用しないでください 2FA およびパスワードレス ログインでは、「二重」要素ではなくなるためです。
企業事例研究:スペシャリティ医薬品ポータル(AEMPS)
典型的なフローの例: TOTPアプリ(Microsoft/Google Authenticator、FreeOTP、Authyなど)をインストールし、ブラウザから 「確認コードのリセット」を要求 認証情報ページで、QRコードへのリンクが記載されたメールが届きます。
アプリでQRコードをスキャンして、 最初のコードが表示されます ブラウザに戻り、リセットページでそのコードを入力してください。そこから「認証コード」方式(ユーザー名、パスワード、そして携帯電話に表示されている現在のTOTPコード)を選択してログインしてください。
ハードウェアキー:高級アクセサリーとしてのYubiKey
最大限のセキュリティのために、 YubicoのYubiKey ゴールドスタンダードです。IP68準拠の物理キー、バッテリーフリー、堅牢性を備え、FIDO2、U2F、OTP、スマートカードなどに対応しています。Google、Facebook、その他多くのサービスで完璧に動作します。サービスがハードウェアをサポートしていない場合は、 認証アプリを利用できます バックアップ。FIPS 認定モデルも用意されており、バックアップを必要とする環境でもご利用いただけます。
理想: TOTPアプリ + YubiKey常に第 2 の要素が利用可能になり、保護を最大限に高めたい場合に備えて、さらに安全性の高い別の要素も利用できます。
バックエンドに TOTP を実装する (Node.js と otplib)
独自のアプリケーションを開発する場合、TOTPは簡単に統合できます。 otplib Express.js を少し使用しています。ワークフローは2つのフェーズに分かれています。TOTPシークレットをユーザーに関連付け、ログイン時にコードを検証します。
- 協会: サーバー上でシークレットを生成し、OTPauth URI を作成し、それを QR コードとして表示します(QRcode などのライブラリを使用)。ユーザーはアプリでそれをスキャンし、TOTP を送信します。 関連付けを検証して保存する.
- 検証: 正しいパスワードを入力してログインするたびに、 TOTPを尋ねる 保存したシークレットと照合して有効性を確認します。有効であれば、ログインが完了します。
ご覧のとおり、非常に明確なパターンです。 秘密を同期する最初のコードを検証し、その後はログインごとにローテーションするTOTPコードと比較します。シンプルで堅牢、そしてほとんどの認証アプリと互換性があります。
トラブルを回避するコツと良い習慣
「プランB」について考えてみましょう。 回復コードと代替方法 (セキュリティキー、SMS、プッシュモバイルアプリ)クラウド同期に依存している場合は、 iOSとAndroidの非互換性 (Microsoft および Duo の場合) 携帯電話を変更するときに驚くことがなくなります。
TOTPを内蔵したパスワードマネージャーを使うべきタイミング
すでにBitwardenまたは1Passwordをご利用の場合は、 TOTPモジュールをアクティブ化する パスワードと2要素認証を統合し、同じツールで自動入力できます。メリット:スピードと手間の軽減。デメリット:機密性の高い情報が一箇所に集中するため、 強力な2FAで保護する 安全なエクスポート/バックアップ オプションを確認します。
注目のアプリと互換性の概要
Android: Google Authenticator、Microsoft Authenticator、Authy、Duo、FreeOTP、Aegis、andOTP、2FAS、Protectimus、TOTP Authenticator、WinAuth(モバイル以外)。 iOS: Google Authenticator、Microsoft Authenticator、Authy、Duo、FreeOTP、OTP Auth、Step Two、Authenticator App、TOTP Authenticator。デスク: Authy (Win/macOS/Linux)、OTP 認証 (macOS)、ステップ 2 (macOS)、WinAuth (Windows)。
へ 特別なビデオゲームトークンWinAuthはSteamとBattle.netで輝き、BitwardenはSteamを扱えます。 steam://アップルでは、 統合認証システム iOS 15 以降および Safari 15 以降では便利ですが、オートコンプリートが常に正確であるとは限らず、専用アプリほど高速ではありません。
TOTPアプリを選ぶための簡単なチェックリスト
- 必要ですか 真のクロスプラットフォーム (モバイル + デスクトップ)? Authy は安全な選択です。
- ミニマリズムとクラウドなし? または FreeOTP が適切なベースになります。
- 細かく制御できるオープンソース? アイギス (Android) または OTP 認証 (iOS) が目立ちます。
- オールインワンマネージャー + TOTP? Bitwarden または 1Password を使用すると、さらに簡単になります。
- ゲームの世界? WinAuth 非標準トークンをサポートします。
あなたの選択が何であれ、 バックアップコピーを生成する リカバリコードも保存できます。最悪の事態に陥った時にとても役立ちます。
TOTP を有効にすると、最小限の時間コストでセキュリティを大幅に強化できます。また、ご覧いただいたアプリでは、シンプルなクラウドフリーのソリューションから、コードを自動入力するマネージャーやループを閉じる物理キーなど、すべてのデバイス間で同期されたエコシステムまで、最適なものを選択できます。 高セキュリティシナリオいくつかの良い決断と予備計画があれば、 あなたのアカウントは「なすがまま」から「恐怖から守られる」ものへと変わります.
