1Password を二要素認証のオーセンティケータにできた

これまで二要素認証のオーセンティケータはデバイスを跨いで使える Authy を使っていたが、ログインフォームで ID とパスワードを 1Password で自動入力した後に Authy を起動してトークンを入力… というのがめんどくさかったので「1Password をオーセンティケータにできるんじゃね?」と思って調べたらできた。

Use 1Password as an authenticator for sites with two-factor authentication

これまで通りデバイスを跨いで使えるし、ID とパスワードに加えて二要素認証のトークンまで自動入力されるようになって便利。

(2020/06/09 追記)

ID 及びパスワードと二要素認証のトークンが同じ場所(1Password)から取得できるようになるので、1Password の認証情報が漏れた場合のセキュリティリスクは上がる。1Password のブログ TOTP for 1Password users | 1Password でも下記に引用する通り「真の二要素認証にならない」旨が述べられており、Authy のように端末間でトークンを共有したり、同じ端末でパスワードと二要素認証のトークンを扱ったりする場合も同様に厳密な二要素認証にはならないので、1Password の二要素認証も、Authy も、その他の二要素認証のアプリも、利便性とセキュリティのバランスを見て使う必要はある。

If you would like to turn a site’s offering of TOTP into true two-factor security, you should not store your TOTP secret in 1Password (or in anything that will synchronize across systems). Furthermore, you should not use the regular password for the site on the same device that holds your TOTP secret.

Put simply: the device that holds your TOTP secret should never hold your password if your aim is genuine two factor security.

Personally, I don’t think that following that practice would be worthwhile for anything but a very small number of special circumstances, in which case, you should probably be using a specialized second factor device instead of something like a phone. But not everyone shares my opinion on this, and if you have a need for true second-factor security for some particular site or service, you should take that into account before adding a TOTP secret to 1Password.

For everyone else, if you find the one-timeness of TOTP worthwhile on its own (or are required to use it), 1Password’s new support in v5.2 for iOS and v4.1.0.538 makes it easier to use than ever.