Microsoft と Google の Authentificator アプリの備忘録

スマホ用アプリで2段階認証を行うアプリと言えば，Google Authentificator と Microsoft Authentificator の2つかなって思います．これ以外にもあるにはありますが，こういうセキュリティに直結するアプリって，チャレンジングなことできません．寄らば大樹の陰です．ですが，実際使ってみると，色々動作が違っていて，困惑することしきりでした．

何が違うの？どちらを使うの？
Google Authentificator って？
Microsoft Authentificator って？
結論

何が違うの？どちらを使うの？

私の場合は，

Microsoft Authentificator を使ってます．

アプリはそれぞれ iOS 用が，

‎Google Authenticator

‎Google 認証システム機能を利用すると、ログイン時に 2 つ目の確認手順が追加されるため、オンラインアカウントのセキュリティをより一層強化できます。パスワードに加えて、スマートフォンの Google 認証システムアプリによって生成...

‎Microsoft Authenticator

‎Microsoft Authenticator を使用すると、多要素認証、パスワードレス、またはパスワードオートフィルを使用して、すべてのオンラインアカウントで簡単かつ安全なサインインを行うことができます。また、Microsoft 個...

で，Android 用が

Google Authenticator - Google Play のアプリ

2 段階認証を有効にしてアカウントを不正使用から保護できます。

Microsoft Authenticator - Google Play のアプリ

Microsoft Authenticator を使用して、簡単かつ安全にサインインしましょう。

ですが，理由は簡単で，

Microsoft Authentificatorは，Google Authentificator の代わりに使えるけど，逆はダメ

だからです．Microsoft Authentificator アプリのメニューを見れば一目瞭然．

Photo by hyt.

個人のアカウント ⇒ Microsoft アカウント
職場または学校アカウント ⇒ Office365
その他 ⇒ Google Authentificator

です．で，このアプリの作りを見れば予想できる通り，Microsoft アカウントと Office 365 のAuthentificator って Google のものと，似て非なるものです．使ってみるまで全く分かっていませんでした．

Google Authentificator って？

Google Authentificator って，要するにワンタイムパスワードを生成するプログラムです．そのパスワードを生成する元となる値を登録する方法は，

「Google Authenticator」アプリとiPhone／iPadで2段階認証を実現する

オンラインサービスのアカウント乗っ取りを防ぐには「2段階認証」が効果的だという。その2段階目の認証には、グーグルが無償で提供する「Google Authenticator（Google認証システム）」というアプリがよく用いられている。その使...

なんかを見てもらえると分かりますが，QRコードか，シークレットキーを使います．ワンタイムパスワードは，6桁のものが30秒ごとに入れ替わります．

で，重要なことは，このQRコードとシークレットキーって，使いまわしができるということです．どういうことかと言うと，QRコード（シークレットキー）画像を保管しておき，複数の端末に（例えば iPhone と iPad に）ワンタイムパスワード生成の仕組みを登録することが出来ます．

2段階認証って，2段階の認証をしないとそのサービスが使えないって事ですから，機器1台しか認証のコードを発行できない，というのはその機器が壊れたときのことを考えると困る訳です．だから，代替えの手段を用意しておかないといけないのですが，Google Authentificator の仕組みだと単に2台の機器に同じ QR コードを読ませれば良いだけになる訳ですね．

Microsoft Authentificator って？

じゃぁ，Microsoft Authentificator ってどうなのかと言うと，Google Authentificator の代わりとして使える部分は，もちろん Google Authentificator と同じように同じQRコードを読み込ませれば，複数の機器をパスワード生成機にできます．でも，Microsoft アカウントと Office 365 の場合は，

端末（アプリ）認証 + ワンタイムパスワード生成機

の両方を兼ねたものになっています．つまり，

ログイン（など）しようとしたとき「はい」か「いいえ」かを端末にインストールしたアプリで尋ね，「はい」の場合ログイン（など）を許可する（端末認証）．
6桁のワンタイムパスワードを生成する．

の2つの機能を両方とも兼ねたアプリな訳です．Google の場合はこれが，

端末認証 ⇒ Google アプリ
ワンタイムパスワード生成 ⇒ Google Authentificator アプリ

に分離されているのでかなり違う．また，Microsoft アカウントと Office365 の2段階認証パスワード生成用のコードって，コードの登録自体は，

Microsoftアカウントの乗っ取りにおびえる日々にさよなら！　2段階認証を設定する【いまさら聞けないWindows 10のTips】

を見てもらえると分かりますが，Google Authentificator と変わらない．でも，この同じ QR コードを別の機器に読ませると「すでに使われています」と出て，登録拒否されます．つまり，

Microsoft アカウントと Office365 の2段階認証パスワード生成用コードって単一の機器でしか使えない！

ってことです（少なくとも今のところは）．

正直，これ，少し困ります．Google の場合だと，Google アプリが入ってれば，どの機器でも端末認証（ワンタイムパスワード）が通りますが，Microsoft の場合だと特定の1台の機器でしか端末認証（ワンタイムパスワード）が使えない．要するに，同じ2段階認証手段のバックアップ方法がないってことなわけです（別の機器で認証するには例えば SMS 認証など別の認証手段が必要になるということ）．

と言うことで，結論は，以下の通りになる訳です．

結論

現状，2段階認証用のアプリは以下の通り入れるのが最も効率が良いんじゃないかと思います．

その1.

Authentificator アプリ（ワンタイムパスワード生成アプリ）としては，Microsoft Authentificator を入れる．

その2.

Google で端末認証を使いたければ，Google アプリをさらに入れる．

その3.

Microsoft Authentificator アプリを入れたのとは違う端末に SMS 認証を設定する．

う～ん．正直，Google Authentificator はアプリ名良くない気がするなぁ……．なんとなくこの名前だと「機器認証」用のアプリだと勘違いしそうな気がする．で，Microsoft Authentificator アプリ，こっちの方は，複数機器に登録できないのが痛い……．あと，Google の様にアプリを分けるべきなんじゃないかなぁ……って気がするんですが，皆様，どのように思われますか？