• しがない さんのプロフィール写真

    しがない が更新を投稿 3年 10か月前

    >皆様

    以前も質問した覚えがあるのですが記事検索で出てこず再質問です。
    「Google Authenticator」で
    Bitstamp
    Poloniex
    XRP
    NEU
    GMC
    と二段階認証をしているのですが、
    万が一携帯電話を紛失したらどうなるのでしょうか。
    サイトを見てみると別の携帯電話にアプリを再インストールしても駄目だと記載されております。
    「Google Authenticator」のバックアップコードなどはなさそうです。
    急に心配になってきました。

    • toremo の返信 (3年 10か月前)

      Google Authenticatorは、バックアップできないのでなくしたら終わりだと思います 
      今まで無くしたり、携帯変えたりしてハマってしまった人多く見てきました
      でも、Authyは、バックアップできますよ

      http://dev.classmethod.jp/cloud/aws/authy/

    • 私はQRコードを読み取る際に読み取った秘密鍵文字列を紙に手書きした上でしかるべき場所に保管しています。
      デバイス破損等の場合は別のタブレットにその秘密鍵文字列を手打ちすればUNIX時間で30秒ごとに変化する同じ6桁の数字が生成されます。
      技術的仕様の詳細はRFC6238で規定されてます。

      https://tools.ietf.org/html/rfc6238

      Google Authenticatorを入れた泥タブはwifiの接続情報を削除してインターネットには物理的に接続できないようにして秘密鍵の漏洩を抑止しています。
      アンドロイドの脆弱性を突かれてroot権限をリモートで奪われてSecretKeyを覗き見されたらお手上げですから。

      以下引用
      IIJ SmartkeyやAuthyや、そもそもGoogle Authenticatorも汎用TOTPコードジェネレーターとして動くので、どれでも好きなの使えばよい、が、そのTOTPコードジェネレーターが秘密鍵を適切に管理してるかは気にしたほうがいい。平文で適切なパーミッションなしで保存などされていたら台無し。Authyだとデバイスが代わっても大丈夫!復元可能!と言ってるけど、それってつまりシークレットを外部のサーバーに保存してるということなので、それが許容されるひとは使えばいいと思う。
      耐タンパー性 低い(rootedなデバイスで第三者のアプリケーションからSecretKeyを覗き見されたらどうする?)

      http://qiita.com/shrkw/items/426a7f1a59f42e0bd523

      • >toremo様
        >nyanchu様

        返信ありがとうございます。

        GMCとNEUはバックアップコードがありましたので
        携帯なくしても大丈夫そうでした。

        取引所は、そういったバックアップコードがありませんでしたので
        二段階認証はGAではなく、二段階パスワードやメール認証を出金時にマストに致しました。

        気軽にGAで二段階認証してバックアップ無かったら危機でした。
        危なかったです。