いきさつ
発端は会社の先輩からの情報で、MFAを複数のデバイスで共有できるようにしているという話を聞いたことでした
私はMFAをAWSの認証などでに利用していますが、これまでは一番有名であろう(実際は何も考えずに一番目にヒットしたものを利用しただけ)「Google Authenticator」を使っていました。しかしながら先輩の話をもとにいろいろ調べなおした結果、「Authy」に乗り換えることにしました
MFAとは
MFA(多要素認証)はユーザー名とパスワードなどの要素のほかにMFAデバイスからの認証コードを別要素として組み合わせて認証することでセキュリティの強化を図る仕組みです。
AWSでも強い権限を持つルートアカウントなどはMFAにて認証することが推奨されています。
https://aws.amazon.com/jp/iam/details/mfa/
またMFAにはいくつかタイプがあるようです。
たとえばAWSでは ハードウェアデバイス、仮想デバイス、SMSテキストメッセージ などがあるようです。
わたしは費用や機能面を考慮して手軽な仮想デバイスタイプで認証しています。
「Authy」vs「Google Authenticator」vs「IIJ Smart Key」
AWSのページや、ググった結果などから、「Authy」、「Google Authenticator」、「IIJ Smart Key」のどれかがよさそうです。
以下のサイトを参考にこれらを比べてみました。
https://mettyaeeyan.com/2certification/
| Authy | Google Authenticator | IIJ Smart Key | |
|---|---|---|---|
| シェア | 〇 | ◎ | △ |
| 検索性 | 〇 | △ | 〇 |
| 複数端末管理/バックアップ | 〇 | △ | △ |
| PC利用 | 〇 | × | × |
| アプリロック | 〇 | × | 〇 |
| 日本語 | × | 〇 | 〇 |
私が重要視したのは以下の点でした。
複数端末管理 / バックアップ ができる
MFAデバイスを紛失したり、故障して使えなくなったりすると、認証ができなくなります。
AWSではMFAデバイスの紛失・故障時の対応方法にもある通り、ルートアカウントであればEメールや電話番号での復帰ができるようですが、IAMユーザの場合、ユーザでは復帰できないようです。
そのため複数端末での認証共有やバックアップが重要になります。
「IIF Smart Key」や「Google Authenticator」はキー毎のQRコードの読み取りが必要でありキーが多くなると手間です。それに対して「Authy」ではすべてのキーが紐づいたアカウント自体を複数端末で共有するため楽です。
PCで利用できる
仮想MFAデバイスのアプリはモバイルアプリが多いですが、Chromeの拡張機能がある「Authy」ならばPCでも利用可能です。
すぐにバッテリーを使い切ってしまうスマホ中毒にはこの機能はありがたい。
最後に
複数端末でMFAを管理できるようになり、一安心です。
PCでも使えるようになったし、モバイルアプリの使い心地についても検索機能がついたりやアイコンがデフォで表示されたりと大満足です。
ただクラウド上にデータが保存されることになるので、その点が気になる人は別のアプリが良いかもです。