2FAA.app

2FAに関するよくある質問

二要素認証、TOTP、認証アプリ、アカウントセキュリティについて知っておくべきことすべて。

基本コンセプト

2FA / 二要素認証とは?
パスワードに加えて、認証アプリが生成する6桁のコードなど、もう一つの保護層を追加する仕組みです。パスワードが漏洩しても、コードがなければ攻撃者はログインできません。
TOTPとは?
TOTP (Time-based One-Time Password — 時間ベースのワンタイムパスワード) は RFC 6238 で定義された標準アルゴリズムです。秘密鍵と現在時刻を組み合わせて、30秒ごとに変わる6桁コードを生成します。Google Authenticator、Authy、2FAAはこのアルゴリズムを使用しています。
TOTPとHOTPの違いは?
TOTPは時間を変数として使い (30秒ごとに変わる)、HOTPはカウンターを使います (使用するたびに増える)。TOTPの方が一般的で、デバイス間のカウンター同期が不要です。
アプリ2FAはSMS 2FAより安全ですか?
はい。SMSはSIMスワップ攻撃に脆弱です — 攻撃者が携帯会社を説得して番号を自分のSIMに移し替えます。認証アプリはデバイス上でコードを生成し、携帯回線に依存しないため、はるかに安全です。

設定と使い方

アカウントで2FAを有効にする方法は?
ほとんどのサービスでは、セキュリティまたはアカウント設定に2FA項目があります。「二要素認証」「2段階認証」「ログイン認証」などを探してください。サービスがQRコードを表示するので、認証アプリでスキャンするとコード生成が始まります。
Discordで2FAを有効にする方法は?
Discordユーザー設定 → マイアカウント → 二要素認証を有効にする。認証アプリでQRコードをスキャンし、6桁のコードを入力。Discordはバックアップコードも表示するので、安全な場所に保存してください。
GitHubで2FAを有効にする方法は?
Settings → Password and authentication → Enable two-factor authentication。「Set up using an app」を選び、2FAAなど認証アプリでQRをスキャン、確認のためコードを入力し、バックアップコードを保存します。
複数のデバイスで2FAを使えますか?
はい。2FA設定時に同じQRコードを複数のデバイスでスキャンできます。すべてのデバイスで同じコードが生成されます。または秘密鍵を保存しておいて、後で他のデバイスに追加することもできます。2FAAは鍵のインポート / エクスポートに対応しています。

復旧とトラブル

バックアップコードとは?なぜ保存するの?
バックアップコードは、2FA有効化時にサービスが提供する使い捨てコードです。認証アプリにアクセスできなくなった場合 (スマホ紛失、初期化など) にログインするためのものです。必ず安全な場所に保存してください — これと認証アプリの両方を失うと、アカウントから永久に締め出される可能性があります。
スマホを紛失しました。2FAのあるアカウントにどうアクセスする?
バックアップコードでログインしてください。バックアップコードがない場合は、本人確認をしてサービスのサポートに連絡。一部のサービスは復旧メールから2FAを無効化できます。予防として、2FAAでブラウザ内の鍵を管理し、バックアップファイルにエクスポートしておくと安心です。
2FAコードが通りません。どうすれば?
最も一般的な原因はデバイスの時刻のズレです。TOTPコードは正確な時刻に依存するため、30秒のズレでもコードが拒否されることがあります。デバイスの時計が自動 / ネットワーク時刻に設定されていることを確認してください。また、正しいアカウントに正しい鍵を使っているかも確認しましょう。
Google Authenticatorを新しい端末に移行するには?
Google Authenticatorで ⋯ メニュー → アカウントを移行 → アカウントをエクスポート。すべての鍵を含むQRコードが表示されます。新しい端末のGoogle Authenticatorでスキャンするか、2FAAのインポートツールでブラウザに移行できます。

セキュリティとプライバシー

Web版の2FA認証ツールは安全?
ブラウザ内で完全に動作し、サーバーにデータを送信しないツールであれば安全です。2FAAはすべてのTOTPコードをJavaScriptでローカル生成。秘密鍵はブラウザのローカルストレージに保存され、送信されることはありません。DevToolsのNetworkタブで自分で確認できます。
すべてのアカウントに一つの認証アプリを使うべき?
便利ですが、単一障害点を作ります。そのアプリへのアクセスを失えば、すべてを失います。バックアップコードを保存し、秘密鍵を安全なバックアップにエクスポートするか、2つの認証方法を並行して使うことを検討してください。
2FAはハッキングされますか?
難しいですが不可能ではありません。リアルタイムのフィッシング攻撃ではコードを傍受できますが、攻撃者は30秒以内に使う必要があります。最も現実的なリスクはソーシャルエンジニアリング (コードを聞き出す) やデバイス上のマルウェアです。それでも認証アプリによる2FAは、アカウント乗っ取りに対する最良の防御の一つです。

2FAAについて

2FAAとは?
2FAAは無料・オープンソースの2FAツールセットです。Web版TOTP認証ツールGoogle Authenticatorインポートツール、自動入力Chrome拡張、AIエージェント向けMCPサーバーを含みます。すべてブラウザ内でローカルに動作します。
2FAAは秘密鍵をサーバーに保存しますか?
いいえ。すべての秘密鍵はブラウザのローカルストレージ (または拡張機能ではchrome.storage.local) に保存されます。サーバーには何も送信されません。アカウントシステムもなく、2FAデータの追跡もありません。
2FAAはオフラインで使えますか?
はい。2FAAはProgressive Web App (PWA) です。初回アクセス後、デバイスにインストールして完全にオフラインで使用できます。TOTPコードの生成にインターネット接続は不要です。

アカウントを守る準備はできましたか?

2FAAで2FAコードの管理を始めましょう — 無料、プライベート、ブラウザですぐに使えます。

認証ツールを開くGoogleからインポート