Zenn
🔑

1Passwordで2FAの共有ができる件

2021/12/05に公開
#
2fa
1Password
tech

はじめまして ksugaと申します。
これからちょくちょくtech記事や雑多なメモを投稿していきます。
よろしくお願いします!😄

さて今回の記事は2FAのTipsです!!
チームや複数人でどうしても多要素認証を共有したいアカウントがある人向けのものになります。

そもそものお話

SaaS製品の利用とかで共有アカウントをどうしても作らなくてはいけないときに使うのが今回のユースケースです。

しかし、アカウント管理のプラクティスとしてはそもそも共有アカウントなんて作らないようにした方が良いというのはそうです。
共有アカウントはなぜ悪なのかでも紹介されている通り、まずは共有アカウントを作らないように吟味することが必要で、個人情報などが関わってくるSaaS製品の利用はセキュリティ投資だと思ってお金と時間をかけてください。

今回はそういった重要なSaaS製品ではなくてちょっとしたツールの利用だけど以下のような理由でどうしても回避できないというときに利用します。

  • 人の入れ替わりを考慮して担当者ではなくメーリングリストのメールアドレスでアカウントを作りたいだけどメーリングリストだと登録できない
  • もしくはメーリングリストで登録できるけど2FAがGoogleやTwitterログインしか対応していない
  • 利用しているSaaS製品の料金が人数課金で高いため、予算の関係上どうしても人数を絞る必要がある

理想は「共有アカウントはやめるべき」ですが実際に運用してみるとどうしても回避できないというケースで利用してください。

設定の仕方

1Passwordの設定の仕方を説明します。

1Passwordのチーム or ビジネスアカウントを作成

1Passwordから申し込みます。
1Password Teamsと1Password Businessがあるのですが、Businessであれば1Passwordのログインに2FAを強制できるのでこちらがオススメです。

1Passwordにログインする際に2FAを設定

メールが届くので1Passwordにログインしたら、アカウントの初期設定をします。
1Passwordにログインする際にも2FAを挟むと良いのでこちらの設定をしておきましょう。おすすめはTwilio Authyです。

vault(保管庫)の設定

1Passwordはvaultと呼ばれる鍵の保管庫にアカウントとパスワードを登録して、鍵のまとまりを作ります。
そして保管庫ごとにアクセスや設定変更の権限をユーザーやグループごとに許可していく方式になります。

2FAの設定方法

2FA(ワンタイムパスワード)の登録方法は公式手順にもありますが画像付きで説明します。

対象のウェブサイトに2ファクタ認証を設定する

  1. まず、対象のウェブサイトが2FAに対応しているか確認します
    https://2fa.directory/
    こちらのサイトで確認します。今回は例としてGmail(Googleアカウント)を設定してみます。

  2. ウェブサイト名の横にある「青い本のマーク」をクリックします。
    https://www.google.com/intl/en-US/landing/2step/features.html
    すると設定画面に遷移するので指示に従って設定を入れます。

  3. 2FAに遷移する画面で「スキャンできない場合」というのをクリックします
    以下のような画面に切り替わって、キーが発行されるのでそれをコピーしておきます。

1PasswordにQRコード(ワンタイムパスワード)を保存する

  1. 1Password.comのアカウントにサインインします。

  2. ウェブサイトのログインアイテムを選択し、「編集」をクリックします。
    入れたいvaultの追加ボタン「+」から「ログイン」で新規追加します。
    対象の「Title」、「ユーザ名」、「パスワード」、「ウェブサイト」を記載する

  3. 新しいアイテムで「ラベル」右の「•••」をクリックし、「ワンタイムパスワード」を選択します。

  4. ウェブサイトで入手したキーコードをコピーし、ワンタイムパスワード入力欄に貼り付けます。

    ※もしもウェブサイトがQRコードのみに対応の場合は、1Passwordアプリでスキャンする必要があります。

  5. 「保存」をクリックします。
    このようにワンタイムパスワードが見えるようになります。

  6. チームメンバーの招待と共有をする。
    ワンタイムパスワードを設定したら、チームメンバーを招待してvaultのユーザーに追加し、表示権限を付けます。これでチームメンバーも2FAが確認できるようになります。
    もしメンバーが入れ替わりになったら、1Passwordの対象vaultから権限を解除したり、ユーザーの一時停止や削除ができます。

まとめ

困ったときに1Passwordで2FAの共有ができるというのを紹介しました。
チーム内で2FAが共有できることにより、セキュリティで困っているケースで解決策の1つになります。
ただし、記事内でも述べた通り共有アカウント等はなるべくなら作らない方が良いので、まずはそこを変えられないか検討してから1Passwordの利用を考えてください。

GitHubで編集を提案

Discussion