どれも同じコードを生成する
これを最初に言っておきましょう:TOTPに対応するすべての認証アプリは同じ6桁のコードを生成します。アルゴリズムは標準化されています(興味があればTOTPの仕組みはこちら)。したがって、Google Authenticator、Authy、ランダムなオープンソースアプリからのコードは、同じ秘密鍵に対しては同一です。
違いはコード周りのすべてに起因します:バックアップオプション、マルチデバイスサポート、インターフェース、アプリの背後にある企業を信頼できるかどうか。
以下に、5つの人気オプションを比較します。
比較表
| 機能 | Google Authenticator | Microsoft Authenticator | Authy | 2FAS | Aegis |
|---|---|---|---|---|---|
| プラットフォーム | Android、iOS | Android、iOS | Android、iOS、デスクトップ | Android、iOS | Androidのみ |
| クラウドバックアップ | Googleアカウント同期 | iCloud/Googleバックアップ | 暗号化クラウド同期 | Google Drive/iCloud | 手動エクスポートのみ |
| マルチデバイス | Google同期経由 | 1台のスマートフォン+バックアップ | はい、内蔵 | クラウドバックアップ経由 | いいえ |
| オープンソース | いいえ | いいえ | いいえ | はい | はい |
| オフライン使用 | はい | はい | はい | はい | はい |
| 生体認証ロック | いいえ | はい | はい | はい | はい |
| 価格 | 無料 | 無料 | 無料 | 無料 | 無料 |
Google Authenticator
Google Authenticatorは、「認証アプリ」を聞いたときに多くの人が思い浮かべるアプリです。2010年から存在し、大半の期間は意図的にシンプルでした:バックアップなし、同期なし、余計な機能なし。コードは1台のデバイスにあり、それをなくせば、最初からやり直しでした。
2023年にGoogleがアカウント同期を追加したことで変わりました。あなたの秘密はGoogleアカウントにバックアップされ、新しいデバイスでサインインすると復元されます。これがアプリに対する最大の不満を解決しました。
依然として最小限です。アプリ自体にPINや生体認証ロックはなく、アンロックされたスマートフォンを手にした人なら誰でもあなたのコードを見ることができます。インターフェースはクリーンですが基本的です。十分に機能します。
適している人: シンプルなものを、認識できる名前から求める人。すでにGoogleのエコシステムにいる場合、同期は便利です。
注意点: アプリレベルのロックがありません。あなたのコードは、スマートフォンのロック画面と同じくらいしか保護されていません。
Microsoft Authenticator
MicrosoftのアプリはTOTP以上のことを行います。Microsoftアカウントのプッシュ通知承認を処理し、パスワードを保存し、自動入力をサポートします。職場でMicrosoft 365を使用している場合、IT部門がすでにこれを勧めている可能性が高いです。
TOTPに特化して言えば、よく機能します。iOSではiCloudバックアップを、AndroidではGoogleアカウントバックアップをサポートします。アプリには生体認証ロックオプションがあり、コードが表示される前にFace IDや指紋を要求できます。
余計な機能が多いため、インターフェースはGoogle Authenticatorより煩雑です。TOTPコードのみに使用する場合、無視するものが多くあります。
適している人: すでにMicrosoftエコシステムにいる人、特に職場で使用している場合。Microsoft 365ログインのプッシュ通知は本当に便利です。
注意点: パスワードマネージャーや自動入力機能を使用しない場合、アプリは煩雑に感じることがあります。
Authy
Authyは、Google Authenticatorがどちらも持っていなかった時代に、暗号化クラウドバックアップとマルチデバイス同期を提供した最初の認証アプリの1つでした。スマートフォン、タブレット、デスクトップにAuthyをインストールでき、すべてのコードが同期されます。
バックアップは、設定したパスワードで暗号化されます(Authyアカウントのパスワードとは別です)。少なくともドキュメントによれば、Authyは彼らのサーバー上であなたの秘密を読むことはできません。
知っておくべきこと:Authyは2024年にデスクトップアプリを終了しました。デスクトップアクセスが売りだった場合、それはなくなりました。モバイルアプリは依然として機能し、依然として同期されます。
Authyは、大手通信企業であるTwilioが所有しています。オープンソースではないため、Twilioの実装とインフラストラクチャを信頼することになります。
適している人: 自動的なマルチデバイス同期を、考えることなく欲しい人。設定は簡単で、バックアップは内蔵されています。
注意点: オープンソースではありません。デスクトップアプリは終了しました。暗号化された保管庫についてTwilioを信頼することになります。
2FAS
2FASは、利便性を諦めずにオープンソースの選択肢を提供します。Google DriveまたはiCloudを介したクラウドバックアップをサポートし、クリーンなインターフェースを持ち、ウェブサイトにログインする際にTOTPコードを自動入力できるブラウザ拡張機能を含みます。
オープンソースであることは、コードが公開的に監査可能であることを意味します。アプリがあなたの秘密で何をしているかを検証することを気にする場合、これは重要です。
ブラウザ拡張機能は素敵な機能です。サイトがTOTPコードを求めると、スマートフォンに承認を求める通知が届き、コードが自動入力されます。これは標準的なTOTP上に構築された、プッシュ通知2FAの仕組みに似ています。
適している人: 使いやすさを犠牲にせずにオープンソースソフトウェアを望む人。ブラウザ拡張機能は本当に便利な機能です。
注意点: 大手よりも小さなコミュニティ。信頼においてそれが重要な場合、知名度は低いです。
Aegis
AegisはAndroidのみで、完全にオープンソースです。ここで最も透明性の高いオプションです:クラウドサービスなし、作成するアカウントなし、自分で設定しない限り同期なし。暗号化された保管庫ファイルをエクスポートし、自分の好きな方法でバックアップを管理します。
アプリは生体認証ロックをサポートし、クリーンなインターフェースを持ち、標準的なTOTP/HOTPの処理を問題なく行います。他の認証アプリからのインポートも可能です。
内蔵のクラウド同期がないことは、視点によっては機能でもあり欠点でもあります。秘密がどこに保存されるかを完全にコントロールしたい場合、Aegisはそれを提供します。自動的に同期してほしい場合は、Syncthingなどとペアリングするか、手動バックアップを管理する必要があります。
適している人: 完全なコントロールと透明性を望むAndroidユーザー。自分自身でバックアップを管理したいセキュリティ志向の人。
注意点: iOS版はありません。内蔵の同期はありません。自分自身のバックアップ戦略に責任を持つ必要があります。
ではどれを使うべきか?
唯一の最適な答えはありません。以下に、大まかな判断ガイドを示します:
- シンプルに動くものを欲しい: Google AuthenticatorまたはMicrosoft Authenticator。すでに使用しているエコシステムのどちらかを選びましょう。
- 複数デバイス間でクラウド同期を欲しい: Authyまたは2FAS。
- オープンソースを気にする: 2FAS(クロスプラットフォーム)またはAegis(Android)。
- 最大限のコントロールを欲しい: Aegis。すべてを自分で管理し、ホームへの通信はありません。
- 職場でMicrosoft 365を使用: Microsoft Authenticator。どちらにせよ必要になるでしょう。
正直なところ、これらのどのアプリでも問題ありません。どれかの認証アプリを使用することと、全く使用しないことの間のセキュリティ差は、これらのアプリ間のセキュリティ差に比べて大きいです。1つを選び、アカウントを設定し、バックアップコードを保存し、進みましょう。
これらのアプリが生成するコードの背後にある仕組みを理解したい場合は、TOTPとは?をご確認ください。そして、何かをコミットせずにコードをテストするには、2fa.zipを試してみてください。ブラウザ内で実行され、サーバーに何も保存しません。