iOSで二要素認証ができるオープンソースのワンタイムパスワード発行アプリ「Tofu Authenticator」レビュー

ウェブサービスなどへのログインにワンタイムパスワードを用いるとセキュリティを大幅に強化できます。しかし、ワンタイムパスワード発行アプリの多くはクローズドソースで開発されており、「セキュリティに直結する認証情報をクローズドソースのアプリに任せるのは怖い」と感じている人も多いはず。オープンソースで開発されているiOS向けのワンタイムパスワード発行アプリ「Tofu Authenticator」を見つけたので、使い勝手を確かめてみました。
Tofu Authenticator for iOS
https://tofuauth.com/
◆Tofu Authenticatorのインストール
Tofu Authenticatorをインストールするには、まず以下のリンク先にアクセスします。
Tofu Authenticator on the App Store
https://apps.apple.com/app/tofu-authenticator/id1082229305
App Storeが起動してTofu Authenticatorの配布ページが開いたら「入手」をタップ。

インストールが完了したら「開く」をタップ。

Tofu Authenticatorの画面はこんな感じ。各種ウェブサービスでの設定を進めると画面上にワンタイムパスワードが表示されます。

◆Tofu Authenticatorでワンタイムパスワードを発行する手順
ログインの際にワンタイムパスワードを必須にする設定の手順はウェブサービスによって異なりますが、基本的にはアカウント関連設定から「二要素認証」を有効にすればOK。今回はDiscordでの設定手順を詳しく解説します。
まず、画面左下の設定ボタンをクリック。

「マイアカウント」の中の「二要素認証を有効化」をクリック。

パスワードを入力して「はい」をクリック。

するとQRコードが表示されるので、Tofu Authenticatorの操作に移ります。

Tofu Authenticatorの画面右上の「+」をタップ。

「Scan QR Code」をクリック。

初回はカメラへのアクセス許可を求められるので「OK」をタップ。

カメラが使用可能になったら、Discordで表示しているQRコードをスキャンします。

すると、以下のように6桁の数字が表示されます。この数字がワンタイムパスワードです。

Tofu Authenticatorに表示されたワンタイムパスワードをDiscordの入力欄に入力して「有効にする」をクリック。

スマホの紛失などでTofu Authenticatorを使用できなくなった場合に備えて「バックアップコードをダウンロード」をクリックしてから「×」をクリック。これでワンタイムパスワードの設定は完了です。

◆Tofu Authenticatorを用いたログイン手順
Tofu Authenticatorでワンタイムパスワードを発行してDiscordにログインする手順は以下の通り。まず、ログイン画面でメールアドレスとパスワードを入力してから「ログイン」をクリック。

続いてワンタイムパスワードの入力を求められるので、Tofu Authenticatorを起動します。

Tofu Authenticatorを起動したら表示されているワンタイムパスワードを確認。

そしてDiscordの入力欄にワンタイムパスワードを入力して「ログイン」をクリックします。

これでDiscordにログインできました。ワンタイムパスワードを入力しないとログインできないため、他人にメールアドレスやパスワードを知られてもアカウントを安全に保てるというわけです。なお、Discord以外のウェブサービスでも「メールアドレスやパスワードを入力した後、続けてワンタイムパスワードを入力」という手順でログインできます。

◆複数アカウントを見分けやすくする方法
DiscordやTwitterなどのウェブサービスでは1人で複数アカウントを使用することがよくありますが、Tofu Authenticatorに同一サービスを複数登録すると、どのワンタイムパスワードがどのアカウントと対応しているのか分かりにくくなってしまいます。そんな時は、ワンタイムパスワードの名前を変更すればOK。名前を変更するには、まず画面左上の「Edit」をタップします。

続いて名前を変更したいワンタイムパスワードをタップ。

任意の名前を入力して「Accounts」をタップ。

これで、複数アカウントを見分けやすくなります。

なお、Tofu Authenticatorに登録したアカウント情報を移行するには、iPhoneのデータをコンピューターに丸ごとバックアップした上で移行先のiPhoneで「iPhoneを復元」を実行する必要があります。
Tofu Authenticatorのソースコードは以下のリンク先で確認できます。
GitHub - iKenndac/Tofu: An easy-to-use two-factor authentication app for iOS
https://github.com/iKenndac/Tofu

・関連記事
無料で二要素認証ができ安全にバックアップ&デバイス間でエクスポートもできるオープンソースアプリ「Aegis Authenticator」レビュー - GIGAZINE
Googleがパスワード不要でログインできる「パスキー」に対応したのでiPhoneとAndroidスマホで試してみた - GIGAZINE
Google Authenticator(Google認証システム)がログイン情報のデバイス間同期に対応してバックアップがめちゃくちゃ簡単になったので同期手順をまとめてみた - GIGAZINE
スマホがあればパスワードなしでセキュアにMicrosoftアカウントにログインできる「Microsoft Authenticator」 - GIGAZINE
Apple IDで物理的なセキュリティキーを二要素認証として設定する方法&解除する方法まとめ - GIGAZINE
Googleの安全な2段階認証を構築し不正アクセスを防ぐ物理キー「Titan セキュリティ キー」使用レビュー - GIGAZINE
Googleアカウントの2段階認証で使用可能なUSBセキュリティキー「FIDO U2F Security Key」を使ってみました - GIGAZINE
・関連コンテンツ
in レビュー, モバイル, ソフトウェア, セキュリティ, Posted by log1o_hf
You can read the machine translated English article Open source one-time password issuing ap….