Protonは、Windows、macOS、Linux、Android、iOS向けの無料スタンドアロン型二要素認証(2FA)アプリ「Proton Authenticator」をリリースしました。
2FA認証アプリは、オフラインで動作するツールで、30秒ごとに有効期限が切れる時限式ワンタイムパスワード(TOTP)を生成します。これらはオンラインアカウントへのログイン時にパスワードと併用することで、2段階認証を提供します。
Protonは、プライバシー重視のエンドツーエンド暗号化サービスで知られるスイスのテクノロジー企業です。代表的なサービスには、Proton Mail(メール)、Proton VPN、Proton Drive(クラウドストレージ)、Proton Pass(パスワードマネージャー)などがあります。
認証アプリの導入により、同社の製品ラインナップが補完され、主にクローズドソースで広告付き、独自エコシステムにユーザーを囲い込む競合他社と差別化された、プライバシー重視のツールが提供されます。
Proton Authenticatorは広告やトラッカー、ベンダーロックインを一切使用せず、Protonアカウントも不要です。
「Proton Authenticatorは、Protonのすべてのサービスを支える価値観――プライバシー、透明性、ユーザーファーストのセキュリティ――に基づいて構築されています」と、製品発表のアナウンスには記載されています。
「同社はこれらの基準を2FA分野にも持ち込み、Google Authenticatorのようなアプリがユーザーをビッグテックの監視エコシステムにさらに囲い込むのに対し、安全で使いやすく、暗号化された代替手段を提供します。」
出典: Proton
チームによると、このアプリはオープンソースでもありますが、Protonが新しいツールのソースコードをGitHubで公開するまでには通常数週間かかるため、現時点では確認できていません。
Proton Authenticatorはエンドツーエンド暗号化で構築されており、安全なデバイス間同期や、他のプラットフォームへの移行・移行元としてのインポート・エクスポート機能も簡単に利用できます。
TOTPシードのエクスポート機能は、Microsoft AuthenticatorやAuthyなど他の人気認証アプリにはほとんど見られない機能です。
新しいツールは、自動暗号化バックアップや、生体認証またはPINによるアプリロック機能も備えており、さらなるセキュリティ層を追加しています。
認証アプリは、SMSやメールベースの2FAよりもはるかに安全です。なぜなら、コードがユーザーのデバイス上でローカルに生成されるためです。同時に、時限式トークンはすぐに期限切れとなるため、たとえ盗まれても一定時間後には無効になります。
これらはフィッシングやSIMスワップ攻撃、中間者攻撃にもほぼ無敵であり、傍受やなりすまし可能な仲介者が存在しません。
したがって、まだ利用していない場合は、2FAに対応したすべてのアカウントで認証アプリを設定することを推奨します。
