2FA バックアップコード徹底解説
バックアップコード——リカバリーコードとも呼ばれます——は、二要素認証のセーフティネットです。認証アプリが手元にないとき、たとえばスマホを失くした後でもログインできる、一度きりのパスワードの短いリストです。2FA について一つだけ覚えるなら、これにしてください:バックアップコードを安全な場所に保存する。
バックアップコードとは
2FA を有効にすると、サービスは一度きりのコードのセット——通常 8〜10 個——を生成し、一度だけ表示します。各コードは認証アプリの 6 桁コードの代わりにちょうど 1 回ログインでき、使うと無効になります。残りが少なくなったら新しいセットを再生成し、古いものは無効になります。
各サービスのどこに表示されるか
| サービス | 個数 | 場所 |
|---|---|---|
| 10 | セキュリティ → 2 段階認証プロセス → バックアップ コード | |
| GitHub | 16 | Settings → Password and authentication → Recovery codes |
| Discord | 約 10 | ユーザー設定 → アカウント → 2FA → バックアップコードを表示 |
| Microsoft | 1 | account.live.com → セキュリティ → 詳細 → リカバリーコード |
| Facebook / Instagram | 約 10 | セキュリティ設定 → 二段階認証 → リカバリーコード |
| その他ほとんど | 5〜10 | 2FA を有効にした直後に表示——その場で保存 |
安全な保管方法
- 最良:パスワードマネージャー(1Password、Bitwarden など)にセキュアメモとして保存。
- 良い:印刷して、自分だけがアクセスできる場所に紙で保管。
- 避ける:スマホの写真ライブラリにある、暗号化されずクラウドに同期されるただのスクショ——クラウドに侵入した攻撃者が最初に探す場所です。
- 地味だが重要:あるアカウントのバックアップコードを、それが守るそのアカウント自体に保存しない(例:メールのコードをそのメールの下書きに)。
バックアップコードを失くしたら
まだログイン中か認証アプリが手元にあれば、再生成するだけです:同じ 2FA 設定ページを開いて「新しいコードを生成」を押します。これで古いセットが無効になるので、保存先も更新しましょう。コードも認証アプリもなく完全に締め出された場合は、アカウント復旧へ進みます。
2FA アクセスの復旧方法を見る →バックアップコード vs 認証アプリのバックアップ
バックアップコードは 1 個につき 1 回ログインさせてくれます。一方、TOTP 秘密鍵のバックアップはコード生成器そのものを復元します。両者は補完し合います。2FAA は秘密鍵をファイルにエクスポートし、別のデバイスにインポートできるので、スマホを失くしても本物のコードを生成し続けられます——バックアップコードはその上の予備です。
1 台のデバイスに頼らない
TOTP 秘密鍵を 2FAA に持ち、エクスポートをバックアップとして保管し、各サービスのバックアップコードをパスワードマネージャーに保存。無料・ブラウザ完結・データはデバイスから出ません。
よくある質問
2FA バックアップコードとは?
バックアップコード(リカバリーコードとも)は、2FA を有効にしたときにサービスが生成する一度きりのパスワードの短いリストです。認証アプリの 6 桁コードの代わりに 1 回ログインでき、スマホや認証アプリを失くしても入れます。
バックアップコードを失くしたらどうすれば?
まだログイン中か認証アプリが手元にあれば、サービスの 2FA 設定で再生成するだけです——新しいセットが作られ、古いものは無効になります。コードも認証アプリもなく完全に締め出された場合は、サービスのアカウント復旧を行う必要があります。
バックアップコードは再利用できますか?
いいえ。各バックアップコードはちょうど 1 回だけ使え、その後は消費されます。だからサービスはリストで渡すのです——使うたびに消し込み、尽きる前に新しいセットを再生成しましょう。
サービスはバックアップコードを何個くれますか?
通常 8〜10 個です。Google は 10 個、GitHub は 16 個、Discord は約 10 個。Microsoft は例外で、使うたびに再生成する 1 つのリカバリーコードを発行します。
バックアップコードをパスワードマネージャーに保存しても安全?
はい——信頼できるパスワードマネージャーは最良の保管先の一つです。唯一の注意点:あるアカウントのバックアップコードを、それが守るそのアカウント自体に保存しないこと(例:メールのコードをそのメール内に)。別の、しっかり保護された保管庫に置けば、単一障害点を避けられます。
関連記事: スマホを紛失?・ コードが使えない?・ 2FA よくある質問