認証アプリ

認証アプリは、二段階認証（2FA）で使うワンタイムコードをスマートフォン上で生成するアプリケーションです。代表的なものに『Google Authenticator』『Microsoft Authenticator』『Authy』『1Password』のTOTP機能などがあり、オフラインでも6桁の数字コードを30秒ごとに自動生成します。

仕組みは『TOTP（Time-based One-Time Password）』という規格に基づきます。初回セットアップ時、サービス側から渡される『シードキー』をアプリに登録（多くはQRコード読み取り）。以降はシードキーと現在時刻を組み合わせてコードを計算するため、サーバーとアプリが同じアルゴリズムを共有していれば、通信せずとも両者で同じ6桁コードが生成されます。

SMS認証との違いと利点は次の通りです。①SIMスワップ詐欺（電話番号乗っ取り）に強い、②圏外でも使える、③通信費がかからない、④表示が速い。一方、アプリを入れたスマホを紛失・故障させるとログイン手段を失うリスクがあるため、セットアップ時に表示される『バックアップコード（リカバリーコード）』を必ず印刷・保管することが最重要です。

近年は『クラウド同期型』の認証アプリが増えました。Microsoft AuthenticatorやAuthyはAppleアカウントやクラウドにコードを同期するため、機種変更時にトークンを引き継げます。Google Authenticatorも2023年以降Googleアカウント同期に対応しました。ただし同期機能はアカウント侵害時のリスクも同時に高めるため、マスターアカウントを強固に守る必要があります。

設定できるサービスは多岐にわたります。Google・Microsoft・Amazon・Facebook・Instagram・X（Twitter）・GitHub・暗号資産取引所など、ほぼ全ての主要オンラインサービスがTOTP認証アプリに対応しており、アカウント設定の『セキュリティ』メニューから有効化できます。