2要素認証用のアプリ「Google Authenticator」はスマフォなどのモバイル端末に対応したワンタイムパスワードのソフトウエアトークンです。ワンタイムパスワードのトークンとしてはもっともスタンダードな製品で、無償で利用することが可能です。

「Google Authenticator 」の特徴は

iOS/Androidに対応（PCには非対応）
オープンソース

です。

Google Authenticatorは、時間ベースのワンタイムパスワード（TOTP) およびカウンターベースのワンタイムパスワード(HOTP)の両方の方式に対応しています

時間ベースのワンタイムパスワード（TOTP) のサービスとしては

Amazon Web Services（AWS Multi-Factor Authentication）
Dropbox
Evernote
Facebook
GitHub
Googleアカウント
Google Apps for Work
IIJ Omnibusサービス
IIJセキュアMXサービス
Microsoftアカウント
Slack
仮想通貨のサイト
銀行/金融機関のサイト
Powered BLUE 870/OTP (TOTPモード及びHOTPに対応）

などです。Google Authenticatorはこれらのサービスでのワンタイムパスワードの認証に利用できます。

設定のフローは

１）Google Authenticatorのインストール設定

２）Webサーバー側のQRコードの読み取り

Powered BLUE OTP でパスワード認証機能付属のWebサイトを自社運用する際に、Google Authenticator を利用した2要素認証でアクセスする場合をサンプルケースとして説明します。

Powered BLUE OTPには事前に、ワンタイムパスワードのご利用ユーザーのアカウントを作成しておく必要があります

3) Webサーバーへのアクセス

Powered BLUE OTP は2要素認証のWebサイトを自社で簡単に構築・運用出来る仮想アプライアンスサーバーです。

Google AuthenticatorをiOSへインストール

App Store からGoogle Authenticatorを選択してインストール

設定開始

コードの登録

バーコードのスキャン(QRコードの読み取り）
手動での入力

から選択出来ます

QRコードの読み取りの場合

ターゲットのPowered BLUE 870/OTP 上の Webサイトへアクセス

例　test-opt.mubit.com
アカウント　suzuki

ターゲットのWebサイトのQRコードをカメラで読み取ります

QRコードはユーザー毎に異なります

もしくは手動でのコードの入力

Powered BLUE 870/OTP 上の Webサイトへアクセス

例　test-opt.mubit.com
アカウント　suzuki

共有鍵のキーコードを手動で入力します

例　LIXD …… FZDB

以上で登録の完了

ワンタイムパスワードの表示

例　test-opt.mubit.com
アカウント　suzuki

ワンタイムパスワードは、一定時間（例　30秒）毎に変わります

右側の　　をクリックするとワンタイムパスワードの値がクリップボードにコピーされます

入力の際に、値をペーストします

Webサイトへアクセス / 2要素認証

Powered BLUE OTP 上の Webサイト

例　test-opt.mubit.com　へアクセス

2要素認証の「アカウント」と「ワンタイムパスワード」と「ユーザーパスワード」を入力

認証成功

Webサイトへの2要素認証が通った場合、Webページが表示されます

Powered BLUE OTP のターゲットサイトのWebページは、適宜変更できます

任意のWeb作成ツールで作成のWebページ
WordPress対応のWebページ
指定のWebページへのリダイレクト
リバースプロキシで指定Webサイトへのリダイレクト

などに対応しています

Google Authenticatorでの注意点

Google Authenticatorでは、安全の為に登録したコード（共有鍵）のエクスポートが出来ません。

例えばスマフォなどを買い換えた場合や故障の場合には、旧機種から新機種への共有鍵の移し替えが出来ません。これを防ぐ方法としては以下の方法でのバックアップなどを行ないます。

共有鍵のバックアップ方法

登録時にQRコードのスナップショットで保存しておく
登録時に手動で入力するコードをスナップショットで保存しておく

ことにより、機器の買い替えなどの場合に新機種に「以前に発行した共有鍵」を登録することが出来ます。

時間を合わせる

なお利用時には、スマフォとサーバーの時間を正確に合わせておく必要があります。

Webサーバーとスマフォの時間が異なると、生成されるワンタイムパスワードの値も異なるために、正常なアクセスが出来なくなります。

◉ 新規のWebサイトへのワンタイムパスワード認証設定

ワンタイムパスワード認証に対応のWebサイトを新規に構築＆運用の場合

Powered BLUE OTP のを利用することで、簡単にワンタイムパスワード認証に対応のWebを運用ができます

◉ 既存のWebサイトへのワンタイムパスワード認証経由でアクセス

また既存のWebサイトには、ワンタイムパスワード認証のリバースプロキシ経由でのアクセスができます。既存のWebサイトの「認証機能が弱い場合」や、既存のWebサイト側の「認証機能がない場合」でも導入が可能です。

ワンタイムパスワード認証のリバースプロキシ経由で指定Webサイトへのリダイレクト

Powered BLUE OTP-Rev のでは、ワンタイムパスワード対応のリバースプロキシ経由で自社Webサイトへアクセスさせる運用ができます

◉ 既存のWebサイトへのワンタイムパスワード＆SSLクライアント認証経由でアクセス

Powered BLUE Web Station は、ワンタイムパスワード認証 & SSLクライアント認証およびリバースプロキシまでの機能を有するサーバーです。ワンタイムパスワード＆SSLクライアント認証の併用時のWebサイトの構築・運用を行なうことが出来ます。多要素認証でさらに高い安全性を確保したい場合に有効です。