2 要素認証は現在、銀行、電子メール、ソーシャル プラットフォーム、およびほとんどの職場 SaaS のデフォルトになっています。アクティブなアカウントごとに、覚えておくべき 6 桁のコードが追加され、それらのコードを保持するアプリは、ひそかに携帯電話上で最もセキュリティ クリティカルなソフトウェアの 1 つになっています。 Google Authenticator は機能しますが、2026 年にはもはや明らかな選択ではありません。クラウド同期は end-to-end encryption なしで 2023 年に登場し、Mysk のセキュリティ研究者から世間の批判を集めましたが、このアプリは依然として独自の Android および iOS 専用です。現在、より優れた Google Authenticator の代替手段があり、そのほとんどは無料です。
私たちは先月、ボールトの暗号化方法、バックアップ方法、デバイス間で同期するかどうか、携帯電話を紛失した場合にどうなるかなど、7 つの 2FA アプリを比較しました。勝者はオープンソースで、オフラインで動作し、データの保存場所をユーザーが決定できます。 Aegis、Ente Auth、2FAS がパックをリードしており、知っておく価値のある特殊なピックがいくつかあります。
簡単な比較
| アプリ | こんな方に最適 | オープンソース | クロスデバイス同期 | E2E 暗号化バックアップ | 無料 |
|---|---|---|---|---|---|
| Aegis Authenticator | Android パワー ユーザー | はい (GPL-3.0) | いいえ (手動エクスポート) | はい (ボールト ファイル) | はい |
| Ente Auth | クラウドバックアップによるクロスプラットフォーム | はい (AGPL-3.0) | はい | はい | はい |
| 2FAS | アカウントなしの同期とブラウザのペアリング | はい (GPL-3.0) | はい | クラウドと手動 | はい |
| Bitwarden Authenticator | Bitwarden ユーザー | はい (GPL-3.0) | ローカルのみ | ローカル | はい |
| Microsoft Authenticator | Microsoft 365 サインイン | いいえ | はい (Microsoft アカウント) | はい (パスフレーズあり) | はい |
| FreeOTP | 最小限で余計なもののないトークン | はい (Apache 2.0) | いいえ | いいえ (手動エクスポート) | はい |
| Yubico Authenticator | ハードウェア キーのストレージ | はい | YubiKey 間 | N/A (ハードウェア上) | はい |
Google Authenticator が離れる理由
3 つの具体的な問題は、ユーザー スレッド、セキュリティに関する記事、および私たち自身のテストで何度も取り上げられます。
デフォルトでは end-to-end encryption を使用せずに同期します。 Google は 2023 年 4 月にオプションのクラウド同期を追加しました。起動時、同期されたシークレットは end-to-end encryption を使用せずに Google のインフラストラクチャを通過しました。つまり、Google アカウントの侵害 (または召喚状) によってシークレットが公開される可能性があります。 Google は後にオプションの暗号化パスフレーズを追加しましたが、これはオプトインであり、多くのユーザーはそれを有効にしませんでした。
クローズド ソース。 Google Authenticator は 2020 年までオープンソースでしたが、現在は独自のフリーウェアです。最新のオープンソース リリースは GitHub にアーカイブされ、2020 ビルドで凍結されています。他のアカウントへのキーを保持しているアプリにとって、これは意味のある信頼ギャップとなります。
アカウントのロックイン。 クラウド同期は Google アカウント内でのみ機能します。別の電話ベンダーに移行するか、ポータブル バックアップが必要な場合は、手動転送に戻ります。
これらのどれもが Google Authenticator を危険にするものではありません。それは、ほぼすべてのユースケースに対して、より優れた Google Authenticator の代替手段が存在することを意味します。
代替案
1. Aegis Authenticator、Android のオフライン使用に最適
Aegis Authenticator は、2FA コードを単一の Android デバイスに保存し、強力なローカル暗号化を必要とする人にとっては事実上の選択肢です。保管庫は AES-256-GCM で暗号化され、パスワードは scrypt を介して実行され、ロック解除は生体認証のために Android Keystore に関連付けることができます。あなたが要求しない限り、電話からは何も残されません。
Aegis 対 Google Authenticator: GPL-3.0 のオープンソース、監査済み暗号化、Authy、andOTP、FreeOTP、Microsoft Authenticator、Steam、Google Authenticator 自体からのインポート パス。バックアップは、Storage Access Framework (Nextcloud、Cryptomator、ProtonDrive) を公開するクラウド プロバイダーなど、選択したフォルダーに自動的に行われます。現在のビルドは v3.4.2 で、2026 年 2 月にリリースされます。
不十分な点: Android のみ。 iOS やデスクトップ クライアントはなく、デバイス間の組み込み同期もありません。電話を交換する場合は、暗号化されたボールト ファイルから復元します。
価格: 無料、広告なし、テレメトリなし。
Google Authenticator からの移行: Google Authenticator の「アカウントの移行」QR コードを使用し、Aegis でスキャンして完了です。キーはきれいに転送されます。
Download: 結論: コードが 1 台の Android スマートフォンに存在する場合、2026 年におけるローカル専用オプションとしては、Aegis が最も強力です。
2. Ente Auth、end-to-end encrypted バックアップを備えたクロスプラットフォームに最適
Ente Auth は、どこでも使用できるドロップイン Google Authenticator の代替品に最も近いものです。 Android、iOS、macOS、Windows、Linux のネイティブ アプリに加え、auth.ente.io の Web クライアントとスクリプト用の CLI 。クラウド バックアップは、Ente Photos が使用するものと同じプロトコルを使用する end-to-end encrypted であり、Cure53 によって監査されています。
ほとんどの人が驚くのはその磨き心地です。 Ente Auth は、現在のコードの有効期限が切れる前に次のコードを表示し (そのため、2 秒以内にコードを入力するときに待つ必要はありません)、タグと固定をサポートし、実際の検索機能を備え、電話で数字を口述する代わりに時間制限付きのリンクとしてコードを共有できます。コードはオフラインでも機能し、クラウド バックアップが必要ない場合は、アカウントなしでアプリを完全に使用できます。
Ente Auth 対 Google Authenticator: end-to-end encrypted 同期 (ゼロナレッジ、オプトインではない)、AGPL-3.0 の下でオープンソース、すべての主要な OS で利用可能、永久に無料。 Google Authenticator の同期には Google アカウントが必要で、ほとんどのユーザーがオンにすることのないパスフレーズ ベースの暗号化モードのみが付属しています。
不十分な点: クラウド同期には Ente アカウントが必要です。 Android アプリは約 14 MB で、Aegis や 2FAS よりも大きくなります。一部のニッチな発行者のアイコンがアイコン パックに含まれていません。
価格: 無料、永久。エンテはEnte Photosで稼いでいます。
Google Authenticator からの移行: 組み込みインポーターは、Google Authenticator の転送 QR コード、さらに Aegis、2FAS、Authy エクスポート ファイル、およびプレーン JSON を受け入れます。
Download: 結論: 複数のデバイスを使用している場合、または秘密を Google に任せずに復元したい場合は、Ente Auth を選択してください。
3. 2FAS、アカウントなしでの同期に最適
2FAS は 2015 年から存在し、Play Store で最もよく使用される独立した認証システムの 1 つへと静かに成長し、Android に 500 万回インストールされています。フックはアカウントを必要としない同期です。暗号化されたローカル チャネルを介してモバイル アプリを 2FAS ブラウザー拡張機能とペアリングすると、コードがコンピューター上のクリック入力プロンプトに自動的に流れます。フィッシングに対する登録、電子メール、回復メールは必要ありません。
Android アプリは GPL-3.0 でオープンソースであり、クラウドおよび手動バックアップ、起動時の生体認証または PIN 保護、iOS の Apple Watch、グループとタグによる編成をサポートし、完全にオフラインで動作します。コードベース、iOS アプリ、ブラウザ拡張機能、同期サーバーはすべて、検査のために 1 つの GitHub 組織内にあります。
2FAS 対 Google Authenticator: 同様のシンプルさですが、ファーストパーティのブラウザ自動入力、ベンダー アカウントにロックされないクロスデバイス同期、監査可能なオープンソース コードベースを備えています。
不十分な点: ネイティブ デスクトップ アプリはまだありません (ブラウザ拡張機能がデスクトップの話です)。クラウド バックアップでは、Android では Google Drive が、iOS では iCloud が使用されます。これは便利ですが、リカバリはこれらのベンダーに関連付けられます。
価格: 無料、プレミアム枠なし。
Google Authenticator からの移行: Google の転送 QR をスキャンします。 2FAS は各エントリをそのままインポートします。
Download: 結論: 携帯電話やラップトップでコードを使用したい非技術者ユーザーに推奨する最も簡単なオープンソース アプリです。
4. Bitwarden Authenticator、Bitwarden ユーザーに最適
Bitwarden Authenticator は、2024 年にBitwarden によってリリースされたスタンドアロンのTOTP アプリです。Bitwarden パスワード マネージャーとは意図的に分離されているため、シークレットが保護されるパスワードと同じ保管庫に保管されることはありません。このアプリは無料で、GPL-3.0 の下でオープンソースであり、Android と iOS で動作します。
使用例は狭いですが、価値があります。すでにパスワードに Bitwarden を使用していて、徹底した防御のために同じ保管庫に TOTP コードを保管したい場合、これがマッチング アプリです。現在はクラウド同期はなく、ローカル シークレットとエクスポート オプションのみが用意されており、意図的に最小限になっています。
不十分な点: ローカルのみ。現在のリリースでは、デバイス間の同期やクラウド バックアップはありません。クロスデバイス アクセスが必要な場合は、代わりに Ente Auth または 2FAS をご覧ください。 UIもAegisやEnteと比べると地味です。
価格: 無料。
Google Authenticator からの移行: アカウントごとに手動入力または QR コード スキャン。 Google の転送 QR からの一括インポートはまだありません。
Download: 結論: すでに Bitwarden を信頼していて、TOTP コードを別の単一目的アプリに入れたい場合には、クリーンな選択です。
5. Microsoft Authenticator、Microsoft 365 サインインに最適
Microsoft Authenticator は、Microsoft 365、Entra ID、または ID プロバイダーとして Microsoft を使用する組織にログインする場合にスロットの価値があります。パスワードなしのサインイン、プッシュ承認プロンプト (6 桁を入力する代わりにタップして承認)、MFA 疲労攻撃を防御するための番号照合がサポートされています。 Microsoft 以外のアカウントの場合、アルゴリズムをサポートするサービスの標準 TOTP アプリとして機能します。
クラウド バックアップは iOS の Microsoft アカウントに end-to-end encrypted で、Microsoft アカウントのパスワードと回復オプションで保護された新しいデバイスに復元されます。 Android では、バックアップにも Microsoft アカウントが使用されます。コードは追加するとオフラインでも機能します。
Microsoft Authenticator 対 Google Authenticator: エンタープライズ ユーザー向けの追加機能、プッシュ承認、長年にわたって成熟してきたバックアップ モデル。問題は、このアプリがクローズド ソースであり、Microsoft のアイデンティティ エコシステムに引き込まれることです。
不十分な点: クローズド ソース。バックアップにはMicrosoft アカウントが必要です。アプリは約 60 MB と重く、TOTP とは関係のないアカウント管理機能が含まれています。
価格: 無料。
Google Authenticator からの移行: Aegis は、Google Authenticator からインポートし、Microsoft Authenticator に再エクスポートできます。 Microsoft Authenticator内での直輸入は限定となります。
Download: 結論: サインインの半分が Microsoft アカウントである場合は、正しい選択です。それ以外の場合はスキップしてください。
6. FreeOTP、最小限の飾り気のないトークンに最適
FreeOTP は、オープンソース コミュニティにクリーンな Apache 2.0 ライセンスの認証システムを提供するために Red Hat が出荷したプロジェクトです。実行することは 1 つです。TOTP および HOTP コードを生成します。ほとんどのビルドでは同期、アイコン パック、メモ、生体認証、派手な UI はありません。攻撃対象領域を最小限に抑え、寛容なライセンスを求める人にとっては、そのミニマリズムが特徴です。
維持されている後継の FreeOTP+ は、同じシンプルなモデルを維持しながら、暗号化されたファイルからのバックアップと復元など、いくつかの品質オブライフの機能を追加しています。どちらも、緊急復旧用に引き出しに保管しておくセカンダリ デバイスとしては適切な選択肢です。
FreeOTP vs Google Authenticator: オープンソース、Google アカウントなし、クラウド同期なし。 Google パスワードを忘れてもコードが失われることはありませんが、携帯電話を紛失した場合、手動でエクスポートしないとコードを取り戻すことはできません。
不十分な点: クラウド バックアップやデバイス同期はありません。 UIは基本的なものです。 Aegis や 2FAS に比べて更新頻度は低いです。
価格: 無料。
Google Authenticator からの移行: アカウントごとに手動スキャンまたは入力。一括インポートはありません。
Download: 結論: 可能な限り小さくて退屈な認証システムが必要な場合は、FreeOTP を使用してください。 Aegisはデイリーユースに強いピックです。
7. Yubico Authenticator、ハードウェア キーの保管に最適
Yubico Authenticator は、TOTP のシークレットを携帯電話ではなく YubiKey に保存します。電話機は、USB-C または NFC から YubiKey を読み取り、キーにコードの計算を要求し、それを表示します。キーを抜くとコードが消えます。これはリストの中で最も強力な脅威モデルです。盗まれた携帯電話には決して秘密がありませんし、フォレンジックダンプでも決して秘密は見つかりません。
問題は明らかです。 YubiKey 5 または互換トークン (約 50 ~ 70 USD) が必要で、コードが必要になるたびにタップする必要があります。機密性の高いアカウント (ルート管理者、財務、回復メール) の場合、トレードオフにはそれだけの価値があります。毎日のTwitterやRedditにとってはやりすぎです。
Yubico Authenticator 対 Google Authenticator: 機密情報がハードウェア デバイスから流出することはなく、クラウドに何も残さず、携帯電話が盗難または交換された場合でもコードを失うリスクはありません。キーが差し込まれている限り、同じコードのセットが iOS、Android、Windows、macOS、および Linux で利用できます。
不十分な点: ハードウェアが必要です。コードごとに遅くなります。無料の YubiKey OTP スロットは、YubiKey 5 NFC では 32 エントリに制限されているため、100 アカウントには拡張できません。
価格: アプリは無料です。 YubiKey 5 NFC は yubico.com で 55 USD から始まります。
Google Authenticator からの移行: 各アカウントは YubiKey に再登録する必要があります。設計上、一括インポート パスはありません。
Download: 結論: 通常の人間にはまだ機能する、最も偏執的なオプションです。ロングテールの場合は、上記のアプリのいずれかと組み合わせてください。
選び方
Android のみを使用しており、電話機 1 台、保管庫 1 台が必要な場合: Aegis。暗号化は堅牢で、インポート パスはクリーンで、バックアップ ファイルの保存場所を制御できます。
iPhone、Android タブレット、および Linux デスクトップをお持ちの場合: Ente Auth。エンドツーエンドの暗号化された同期は、無料、オープンソース、あらゆるプラットフォームで完全な機能を備えています。
同期が必要で、デスクトップ アプリの代わりにブラウザ拡張機能を使用できる場合: 2FAS。内線から電話への自動入力は、無料オプションの中で最もスムーズです。
パスワードに関してすでに Bitwarden を信頼しており、原則として TOTP コードを別の場所に置きたい場合: Bitwarden Authenticator。同じベンダー、別のアプリ、別の保管庫。
サインインのほとんどが Microsoft 365 または Entra ID の場合: Microsoft Authenticator。プッシュ承認により毎日のログインが高速化され、バックアップのストーリーも成熟しています。
紙のようにシンプルで監査に適したアプリが必要な場合: FreeOTP。それは 1 つのことを行います。
財務、ルート、または侵害された場合に 1 年を台無しにするものを守る場合: Yubico Authenticator と YubiKey 5. 日常のアカウント用に Aegis または Ente Auth と組み合わせます。
Android デバイスを 1 台のみ使用し、主に Google サービスにサインインし、Google アカウント同期用の暗号化パスフレーズを手動で有効にしており、他にコードが必要ない場合は、 Google Authenticator のままにしてください。他の人にとっては、上記の 7 つのうちの 1 つがより適切です。
よくある質問
Google Authenticator のクラウド同期は end-to-end encrypted ですか? デフォルトではありません。 Google は 2023 年 4 月にクラウド同期を追加し、Mysk のセキュリティ研究者は、同期されたシークレットが end-to-end encryption を介さずに Google のサーバーに送信されたことを公的に指摘しました。その後、Google はオプションの暗号化パスフレーズを追加しましたが、それを自分で有効にする必要があります。 Ente Auth のようなアプリは、パスフレーズを忘れずにデフォルトで end-to-end encrypted 同期を使用します。
無料の Google Authenticator に代わる最良の製品は何ですか? Android のみで使用する場合は、Aegis Authenticator。複数のデバイスの場合は、Ente Auth。どちらもオープンソースであり、バックアップをロックオフするプレミアム層はなく、両方とも真に無料です。
Google Authenticator コードを別のアプリにインポートできますか? はい。 Google Authenticator を開き、メニューをタップし、[アカウントの転送]、[アカウントのエクスポート] の順に選択し、結果の QR コードを Aegis、Ente Auth、または 2FAS でスキャンします。 3 つはいずれも Google の転送形式を直接受け入れます。コードはインポート後両方のアプリで機能するため、Google Authenticator を削除する前に新しいアプリを確認できます。
オープンソースの認証アプリは実際に安全ですか? オープンソースは安全性を保証しませんが、信頼のステップを 1 つ削除します。誰でも Aegis、Ente Auth、2FAS、FreeOTP、Bitwarden Authenticator のコードを監査できます。過去にはこれで本当のバグが見つかったことがあります。 Microsoft Authenticator や Google Authenticator などのクローズドソース アプリは、ベンダーの言葉に完全に依存しています。
2FA アプリがインストールされた携帯電話を紛失した場合はどうなりますか? アプリによって異なります。 Aegis を使用すると、暗号化されたボールト ファイル (クラウドまたはローカル) から復元できます。 Ente Auth または 2FAS を使用すると、新しいデバイスにサインインし直すと、end-to-end encrypted 同期を介してコードが復元されます。 Google Authenticator では、Google アカウント同期が有効になっていたと仮定して、そこから復元します。バックアップのない FreeOTP または Bitwarden Authenticator では、各サービスのリカバリ コードに頼ることになります。そのため、アプリに関係なく、リカバリ コードを書き留めておくことが依然として重要です。
これらのアプリはインターネットなしでも動作しますか? はい。 TOTP コード生成は純粋に時計と秘密の計算であり、ネットワークは必要ありません。 7 つのアプリはすべてオフラインでコードを生成します。インターネットは、該当する場合、同期とバックアップにのみ必要です。
2FAS は実際には無料ですか? それとも、不足している有料枠はありますか? 2FAS Auth は無料で、プレミアム枠はありません。有料製品は 2FAS Pass で、これは別個のパスワード マネージャーです。オーセンティケーターとパスワード マネージャーは、独立した価格設定を持つ独立したアプリです。
出典と詳細情報
- GitHub 上のAegis Authenticator (GPL-3.0、AES-256-GCM ボールト)
- GitHub 上のEnte Auth (AGPL-3.0、end-to-end encrypted バックアップ)
- GitHub 上の2FAS (GPL-3.0、アカウントなしの同期)
- Bitwarden Authenticatorプロジェクト
- Microsoft Authenticator 概要
- Red Hat のFreeOTP
- Yubico Authenticator
- Mysk Google Authenticator のクラウド同期のセキュリティ分析、2023 年 4 月に X に投稿
