1Password AC #5: 1Password アカウントへの 2FA

Intro

このエントリは、1Password Advent Calendar の 5 日目である。

• 1Password - Qiita Advent Calendar 2025 - Qiita
  • https://qiita.com/advent-calendar/2025/1password

このシリーズでは、組織において 1Password Business を運用する上での考慮点を解説していく。

• 1Password Business 運用ガイド素案 - Google ドキュメント
  • https://docs.google.com/document/d/1CZ5xdOz2IRHXRKVzcUZG-d4wQmlexBet8_Iee_EJlmw

ここでは、1Password アカウントに対する 2FA の有効化について検討する。

2FA の追加

1Password のアカウントは、Secret Key と Master Password の二要素によって認証している。

しかし、両者が平文文字列であるため、フィッシング詐欺への耐性がないことは懸念すべき点だ。

ここに対して、2FA を設定し Authenticator (TOTP や物理キー)を追加すれば、両方の文字列が盗まれても、アカウントを奪うことは難しくなる。

したがって、他の認証がそうであるように、1Password にも Authenticator を追加するのが理想だ。初回のログイン時(Secret Key と同じ登場頻度)なので、通常利用でも負荷にならない。

ところが、これも個人アカウントかビジネスアカウントかで、考えることが変わってくる。

ビジネスアカウントの場合

今回は、先にビジネスアカウントについて考えてみる。

多くの企業では、社員を統合 ID 管理(例えば MS Entra ID など)で管理しているだろう。

その場合、企業が管理する Authenticator を社員に提供し、SSO などで使用するような運用をしている場合が多い。

こうした Authenticator は、社員が気にしなくても、端末の紛失などは企業の管理者によってリカバリが可能になっている。

したがって、社員は 1Password の 2FA に、この業務用として配布済みの Authenticator を登録すればよいのだ。

何かあっても、情シスなどに依頼して、端末から ID から 1Password から全てリカバリを依頼できるなら、これは非常に強力な後ろ盾なので、登録しない理由も特になくなってくる。

メンバーに配布済みの Authenticator があるのであれば、管理者はポリシーから「二要素認証の強制」を有効にすれば良い。

個人アカウントの場合

問題は、管理者がいない個人アカウントだ。

個人アカウントで運用する 1Password には、あらゆるログインの 2FA も集約されるだろう。すると、1Password ユーザが運用する Authenticator は基本的に 1Password のみになる。

しかし、1Password のアカウント自体に 2FA を適用するのであれば、その Authenticator として 1Password を指定することは当然できない。つまり、別途 Authenticator を用意する必要が出てくる。

これが仮に Authy のようなアプリベースであれば、「では Authy のバックアップコードはどこに保存するか?」という問題が発生し、それを 1Password にすれば循環参照になる。1Password 以外に保存するのであれば、Secret Key の保管と同じようなバックアップ手段をまた考える必要がある。物理キーでも同じだ。紛失したり壊れたりしても良いように、バックアップを考える必要が出てくる。

つまり、個人の場合は 2FA を追加しても、むしろ考えることを増やしているだけで、もし失敗すればアカウントが詰む可能性を増やす。

Secret Key と Master Password が両方漏洩することを危惧するよりも、気にかけるべきものを増やし、その運用に失敗してアカウントをロストする方がリスクとしては大きいだろう。

したがって、筆者は個人用 1Password アカウントでは 2FA の導入はやめたほうが良いと考えている。考えることを減らし、「Secret Key をロストしない」だけに集中する。

フィッシング詐欺は、「Secret Key を入れることは滅多にない。入れる時はまずアプリから入れる」という意識を徹底すれば、ある程度カバーできるだろう。

Outro

やはり、自分でなんとかするしかなかった個人の 1Password アカウントよりも、管理者が存在するビジネスアカウントの方が、何かあった時にリカバリを依頼できる点で、バックアップの難易度がぐっと下がる。

1 つでも Business アカウントのチームに入っていれば、それは強力なアドバンテージになるのだ。

そして、Business アカウントのチームに入ることは、個人アカウントにとって金銭的なメリットもある。

次回はそれを解説する。