guide

2FAバックアップコードを安全に保存する方法

1 分で読めます

バックアップコードは持っていたいものです

二要素認証を設定すると、ほとんどのサービスは一度だけ使用できるバックアップコードのセットを提供します。これらはあなたの緊急キーです。スマートフォンが壊れたり、盗まれたり、認証アプリを誤って削除した場合、バックアップコードは戻るための方法です。

多くの人は設定時にこのステップをスキップします。後で対処するだろうと考え、またはコードのスクリーンショットを撮って、どこに画像が行ったか忘れます。そして6ヶ月後、メールにロックアウトされ、サポートチケットを提出しています。

そのような人にならないでください。バックアップコードの保存に2分かかり、回復の頭痛の種を何時間も節約できます。

バックアップコードの実際とは

バックアップコードは、あらかじめ生成された、一度だけ使用できる文字列(通常8〜12文字)で、あなたのTOTPコードの代替として機能します。各コードは正確に一度だけ使用できます。ほとんどのサービスは5〜10個のコードを提供します。

それらは2FAを有効にすると同時に生成され、あなたのアカウントに紐づけられています。新しいセットを再生成しない限り、期限切れにはなりません。これは古いものを無効にします。

それらをスペアの家の鍵として考えてください。毎日使用するわけではありませんが、必要なときに本当に必要です。

どこに保存するか

いくつかの妥当なアプローチがあり、それぞれにトレードオフがあります。

パスワードマネージャーに

これはおそらく、ほとんどの人にとって最も実用的な選択肢です。すでにパスワードマネージャー(1Password、Bitwarden、KeePassなど)を使用している場合は、バックアップコードを、関連するログインエントリーに添付されたメモとして追加します。

**なぜこれが機能するか:**あなたのパスワードマネージャーは暗号化され、デバイス間で同期され、ものにログインするときにすでにそれを開いています。必要なときにコードがすぐそこにあります。

**リスク:**パスワードマネージャーと認証アプリの両方へのアクセスを同時に失った場合、行き詰まります。これは、パスワードマネージャーが認証アプリとは異なるロック解除方法(マスターパスワードやパスキーのような)を使用している場合は起こりにくいですが、考える価値があります。

**対策:**パスワードマネージャー外に少なくとも1つのバックアップ方法(印刷されたコピーのような)を保持してください。

紙に印刷し、安全な場所に保管

バックアップコードを印刷し、物理的に安全な場所に保管してください:家庭用金庫、鍵のかかった引き出し、耐火金庫。パスポートや出生証明書を保管する場所です。

**なぜこれが機能するか:**紙はリモートでハッキングできません。バッテリーやインターネット接続は不要です。10年後でも読めるでしょう。

**リスク:**紙は燃える、水に流される、またはそれが何か知らない誰かによって捨てられる可能性があります。旅行中にコードが必要な場合も最適ではありません。

**対策:**紙を明確にラベル付けします(しかし、見知らぬ人がコードが何のものか知るほど明確にはしません)。「アカウント回復コード」のようなもので十分です。隣に関連するパスワードは書かないでください。

暗号化されたUSBドライブに

バックアップコードをテキストファイルにコピーし、USBドライブに入れ、ドライブを暗号化します(または最低限、ファイルを暗号化します)。印刷されたコピーの隣のような、安全な場所にドライブを保管します。

**なぜこれが機能するか:**暗号化され、ポータブルなデジタルコピーを得られます。コードを持って旅行する必要がある場合、ドライブを持っていけます。

**リスク:**USBドライブは故障します。また、小さいため簡単に紛失されます。暗号化はパスワードを覚えていれば機能します。そして、謎のUSBドライブがいっぱいの引き出しを持っているような人の場合、正しいものを見つけるのに幸運を祈るしかありません。

**対策:**ドライブにラベルを付けます。定期的にテストして、まだ機能することを確認します。暗号化パスワードをパスワードマネージャーに保管します(はい、これは依存関係を作りますが、印刷されたバックアップもあれば、合理的なものです)。

どこに保存すべきでないか

便利に見えるが、あまり良くないいくつかの場所:

  • **デスクトップのプレーンテキストファイル。**コンピューターにアクセスする人は誰でもあなたのコードを入手できます。マルウェアはそれらを読めます。おそらく、クリーンアップ中に誤ってファイルを削除するでしょう。
  • **カメラロールのスクリーンショット。**スマートフォンの写真ライブラリはクラウドに同期され、アルバムで共有され、予期せぬ場所に表示されます。暗号化されていません。
  • **自分宛てのメール。**誰かがあなたのメールを侵害すると、あなたのバックアップコードを入手します。これは、メールが通常他のすべてをリセットするマスターキーであるため、特に悪いです。
  • **モニターの付箋。**これは言わずもがなだと願います。

いくつのバックアップ方法を持つべきか?

2つが良い数です。1つはデジタル(パスワードマネージャー)で、1つは物理的(安全な場所に保管された印刷コピー)です。これは、主な故障モードをカバーします:デジタルコピーがアクセスできない場合、紙があります。紙が利用できない場合、デジタルコピーがあります。

異常に高価値なものを保護していない限り、2つを超えると、あまり利点なしに複雑さが増します。

使用したらコードを再生成

バックアップコードを使用するたびに、それは消費されます。もう機能しません。コードに手をつけた場合は、サービスにログインし、新しいセットを生成してください。そして、古いものを保管していたすべての場所を更新してください。

一部のサービスは、残っているバックアップコードの数を表示します。これを時々確認してください。1つか2つになったら、再生成してください。

新しいアカウントのためのクイックルーティン

新しいアカウントで2FAを有効にするたびに:

  1. 設定を完了し、認証アプリが機能することを確認
  2. バックアップコードをコピー
  3. パスワードマネージャーのメモに貼り付け
  4. 物理的なバックアップのためにコピーを印刷
  5. 生活を続行

2分かかります。これを習慣として設定すれば、真夜中に「アカウントにロックアウト スマートフォン紛失」で必死にググる人には決してなりません。

TOTP設定をテストし、コードが正しく生成されていることを確認したい場合は、2fa.zipを試せます。ブラウザ内で実行され、サーバーに何も送信しません。

二要素認証でアカウントを保護しましょう

ブラウザ上でTOTPコードをすぐに生成できます。

無料の2FA認証コードジェネレーターを試す

関連記事

二要素認証の仕組み:初心者ガイド

オンラインセキュリティ初心者向けに、二要素認証を分かりやすく解説します。2FAとは何か、なぜ重要か、どう設定するかを説明します。

続きを読む