2要素認証用のアプリ「Google Authenticator」はスマフォなどのモバイル端末に対応したワンタイムパスワードのソフトウエアトークンです。ワンタイムパスワードのトークンとしてはもっともスタンダードな製品で、無償で利用することが可能です。
「Google Authenticator 」の特徴は
- iOS/Androidに対応(PCには非対応)
- オープンソース
です。
Google Authenticatorは、時間ベースのワンタイムパスワード(TOTP) およびカウンターベースのワンタイムパスワード(HOTP)の両方の方式に対応しています
時間ベースのワンタイムパスワード(TOTP) のサービスとしては
- Amazon Web Services(AWS Multi-Factor Authentication)
- Dropbox
- Evernote
- GitHub
- Googleアカウント
- Google Apps for Work
- IIJ Omnibusサービス
- IIJセキュアMXサービス
- Microsoftアカウント
- Slack
- 仮想通貨のサイト
- 銀行/金融機関のサイト
- Powered BLUE 870/OTP (TOTPモード及びHOTPに対応)
などです。Google Authenticatorはこれらのサービスでのワンタイムパスワードの認証に利用できます。
設定のフローは
1)Google Authenticatorのインストール設定
2)Webサーバー側のQRコードの読み取り
Powered BLUE OTP でパスワード認証機能付属のWebサイトを自社運用する際に、Google Authenticator を利用した2要素認証でアクセスする場合をサンプルケースとして説明します。
Powered BLUE OTPには事前に、ワンタイムパスワードのご利用ユーザーのアカウントを作成しておく必要があります
3) Webサーバーへのアクセス
Powered BLUE OTP は2要素認証のWebサイトを自社で簡単に構築・運用出来る仮想アプライアンスサーバーです。
Google AuthenticatorをiOSへインストール
App Store からGoogle Authenticatorを選択してインストール
設定開始
コードの登録
- バーコードのスキャン(QRコードの読み取り)
- 手動での入力
から選択出来ます
QRコードの読み取りの場合
ターゲットのPowered BLUE 870/OTP 上の Webサイトへアクセス
- 例 test-opt.mubit.com
- アカウント suzuki
ターゲットのWebサイトのQRコードをカメラで読み取ります
QRコードはユーザー毎に異なります
もしくは手動でのコードの入力
Powered BLUE 870/OTP 上の Webサイトへアクセス
- 例 test-opt.mubit.com
- アカウント suzuki
共有鍵のキーコードを手動で入力します
例 LIXD …… FZDB
以上で登録の完了
ワンタイムパスワードの表示
- 例 test-opt.mubit.com
- アカウント suzuki
ワンタイムパスワードは、一定時間(例 30秒)毎に変わります
右側の をクリックするとワンタイムパスワードの値がクリップボードにコピーされます
入力の際に、値をペーストします
Webサイトへアクセス / 2要素認証
Powered BLUE OTP 上の Webサイト
- 例 test-opt.mubit.com へアクセス
2要素認証の「アカウント」と「ワンタイムパスワード」と「ユーザーパスワード」を入力
認証成功
Webサイトへの2要素認証が通った場合、Webページが表示されます
Powered BLUE OTP のターゲットサイトのWebページは、適宜変更できます
- 任意のWeb作成ツールで作成のWebページ
- WordPress対応のWebページ
- 指定のWebページへのリダイレクト
- リバースプロキシで指定Webサイトへのリダイレクト
などに対応しています
Google Authenticatorでの注意点
Google Authenticatorでは、安全の為に登録したコード(共有鍵)のエクスポートが出来ません。
例えばスマフォなどを買い換えた場合や故障の場合には、旧機種から新機種への共有鍵の移し替えが出来ません。これを防ぐ方法としては以下の方法でのバックアップなどを行ないます。
共有鍵のバックアップ方法
- 登録時にQRコードのスナップショットで保存しておく
- 登録時に手動で入力するコードをスナップショットで保存しておく
ことにより、機器の買い替えなどの場合に新機種に「以前に発行した共有鍵」を登録することが出来ます。
時間を合わせる
なお利用時には、スマフォとサーバーの時間を正確に合わせておく必要があります。
Webサーバーとスマフォの時間が異なると、生成されるワンタイムパスワードの値も異なるために、正常なアクセスが出来なくなります。
◉ 新規のWebサイトへのワンタイムパスワード認証設定
ワンタイムパスワード認証に対応のWebサイトを新規に構築&運用の場合
Powered BLUE OTP のを利用することで、簡単にワンタイムパスワード認証に対応のWebを運用ができます
◉ 既存のWebサイトへのワンタイムパスワード認証経由でアクセス
また既存のWebサイトには、ワンタイムパスワード認証のリバースプロキシ経由でのアクセスができます。既存のWebサイトの「認証機能が弱い場合」や、既存のWebサイト側の「認証機能がない場合」でも導入が可能です。
- ワンタイムパスワード認証のリバースプロキシ経由で指定Webサイトへのリダイレクト
Powered BLUE OTP-Rev のでは、ワンタイムパスワード対応のリバースプロキシ経由で自社Webサイトへアクセスさせる運用ができます
◉ 既存のWebサイトへのワンタイムパスワード&SSLクライアント認証経由でアクセス
Powered BLUE Web Station は、ワンタイムパスワード認証 & SSLクライアント認証およびリバースプロキシまでの機能を有するサーバーです。ワンタイムパスワード&SSLクライアント認証の併用時のWebサイトの構築・運用を行なうことが出来ます。多要素認証でさらに高い安全性を確保したい場合に有効です。
◉ WAN側に設置のサーバーへのアクセス
WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存の社内WebサーバーをWAN側に移設する場合でも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。
◉ Microsoft Authenticatorの場合
無償で利用できるマイクロソフト社のソフトウエア・トークンです
デモサイト
Powered BLUE のデモサイトを用意しています
各種操作やワンタイムパスワード認証、SSLクライアント認証、SAML認証やリバースプロキシなどの動作を確認することが出来ます
終わりに
ワンタイムパスワード認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。