VRChatアカウントに2段階認証を設定する方法

2021.02.07
この記事は約11分で読めます。

この現代でアカウントを安全に保つために必要です。
認証アプリを使用して2段階認証を設定すると、パスワードが漏洩してもワンタイムパスワードがない限りアカウントにログインできなくなります。

この記事は400字詰め原稿用紙12枚分ほどの長さがあります。
ですが、必ず最後までこの記事を読んでください。

スマートフォンが故障した場合に備えた準備が必要です!
万一スマートフォンの故障、紛失、盗難が発生した場合に困るため、事前に対策しておきましょう。

Oculus/Metaアカウント(Facebookアカウント)やSteamアカウントと連携している場合、そちらのアカウントにも2段階認証を設定してください。
シングルサインオンによりログインできてしまいます。

Eメールによる2段階認証が段階的に強制されます

手短に説明すると、認証アプリで2段階認証を設定していない場合、ログインのたびに登録メールアドレスに送信される認証コードを毎回入力する必要があります。
メールアドレス、プロバイダー、通信キャリアの変更などによりメールが受信できない状態のまま放置していると、VRChatアカウントにログインできなくなるおそれがあります。

2022/10/14以降、認証アプリを使用して2段階認証を設定していないアカウントに対し、段階的にEメールによる2段階認証が強制されるようになります。
アカウントから締め出されることを防ぐために、登録メールアドレスが常に最新で受信可能であることを確認してください。

最終的に、すべてのアカウントに適用されたということです。

Introducing Email Verification — VRChat
A few months ago, we mentioned in a blog post that we’d be continuing to roll out security features for VRChat. Today, w...
hello.vrchat.com

なお、認証アプリを使用して2段階認証を設定しているアカウントは対象外とされています。
それでもEメールによるログインの承認を求められることはあるため、登録メールアドレスは今一度ご確認をお願いいたします。

また、VRChat SDKでも2段階認証が強制されるようになりました。

2023/3/17以降、VRChat SDKでのログインでもEメールによる2段階認証が強制されるようになります。
これまでは、VRChat SDKでのログインではEメールによる2段階認証は適用されていませんでした。

認証アプリによる2段階認証の設定、最新のVRChat SDKへのアップデート、またはその両方を行う必要があります。

2023/5/3の改修で、VRChat SDKをアップデートしなくても2段階認証が行えるようになりました。

Developer Update - 16 March 2023
Welcome to the Developer Update for 16 March 2023! This is the eighth Developer Update of 2023. Today’s thumbnail featur...
ask.vrchat.com

2段階認証は特効薬ではありません

【追記】2022/11/27

2段階認証はセキュリティの強化に役立ちますが、特効薬ではありません。
最近、あるMMORPGにおいて、フィッシングサイトにユーザー名とパスワード、ワンタイムパスワードを入力してしまったためにアカウントを乗っ取られた事例がありました。

不審なリンクにアクセスしないようにしてください。必ず公式サイトのページにログインしてください。ドメインがvrchat.comであることを確認してください。
パスワードマネージャーを使用すると、URLを確認した上でオートフィルするので便利です。

事前に知っておくべきこと

認証アプリを使用して2段階認証を設定する前に、知っておくべきことがあります。

  • いったん設定すると、VRChatにログインするにはパスワードに加えワンタイムパスワードが必要です。
  • 端末が故障した場合に備え、リカバリーコードが発行されます。安全に保存してください。
  • 端末が故障し、リカバリーコードも紛失した場合はアカウントを永久に失う恐れがあります。

上記の注意事項を確認の上、次に進んでください。

2段階認証はパスワードの漏洩時にアカウントへのログインを防ぐ手立てとしてある程度有効に機能しますが、パスワードを漏洩させないようにするに越したことはありません。
これはVRChatに限りませんが、パスワードの使い回しはやめてください。覚えられない人はパスワードマネージャーを使用することを強く推奨します。

また、忘れたパスワードはメールアドレスを使用してリセットできます。

VRChatでの設定方法

VRChatで設定するには、次の手順に従います。

公式ドキュメントはこちらにあります。

Two-Factor Authentication
Done this sort of thing before? Login to your VRChat account, click "Edit Profile", scroll down to "Two-Factor Authentic...
docs.vrchat.com

VRChatアカウントにログイン

SDKをダウンロードしたときのように、ブラウザ(https://vrchat.com/home)でVRChatアカウントにログインします。

VRChat - Home
VRChat lets you create, publish, and explore virtual worlds with other people from around the world.
vrchat.com

ログインしたら、左上のProfileをクリックします。
ログイン後、左上のVRChatロゴ右側にある歯車アイコンをクリックします。

以下の画像はかつてのVRChatのページです。
現在は画面デザインが大きく変更されていますが、操作手順として大きな変更はありません。

画面下にスクロールし、Two-Factor AuthenticationのEnableをクリックします。

スマートフォンまたはタブレットにアプリをインストール

スマートフォンもしくはタブレットに2段階認証用のアプリをインストールします。
TOTP規格(RFC 6238)に準拠したアプリであれば何でも構いません。Google認証システム(Google Authenticator)がその代表例ですが、ここではTwilio社製のAuthyを推奨します。

Authyを使用すると、トークンを安全にTwilio社のサーバーに保存できます。
アカウントは電話番号で紐づけられ、トークンはユーザーの指定したパスワードで暗号化されて保存されます。

Authy | Two-factor Authentication (2FA) App & Guides
Two-factor authentication (2FA) adds an additional layer of protection beyond passwords. Download our free app today and...
authy.com

電話番号で認証し、パスワードを入力することで複数の端末で利用できるようにしたり、スマートフォンが故障しても機種変更後に復旧するといったことができます。

パスワードマネージャーとして1Passwordを使用している場合は、フィールドにワンタイムパスワードを追加することで認証アプリとして利用できるようになります。

バーコードをスキャン

2段階認証を有効にするため、バーコードをスキャンしてアプリに読み込ませます。

任意の認証アプリを起動させ、バーコードをスキャンしてください。

Authyであれば、次のようなサイトが参考になります。

【S】一生使う前提の2段階認証アプリ「Authy」の使い方
Authy(オーシー)ならクラウドのおかげで自動バックアップになり、機種変更も同期するだけで楽チンだ。「Google認証システム」は機種変更が楽になったとはいえ紛失時が面倒だし、「IIJ SmartKey」は1つずつしかエクスポート(書き出
excesssecurity.com

もしバーコードが正しく読み取れない場合は、enter the key manuallyをクリックし、表示される英数字を入力してください。

スキャンができたら、Nextをクリックします。

認証アプリの動作確認

まだ終わりではありません!

この後、リカバリーコードを保存する作業までを完了してください。

認証アプリに追加されたワンタイムパスワードを入力して、Verifyをクリックしてください。

ワンタイムパスワードが正しく機能しない場合は、次の項目を確認してください。

  • スマートフォンやタブレットの時計は合っていますか?ワンタイムパスワードは現在時刻を基に計算されるので、時計がずれていると正しく機能しません。
  • インターネットに接続してください。解約済みのスマートフォンを使用する場合は、Wi-Fiに接続して正確な時刻に合わせてください。
  • ワンタイムパスワードの生成そのものにインターネット接続は必要なく、機内モードや解約済みのスマートフォンも使用できますが、時刻がずれていると正しく機能しません。
  • ワンタイムパスワードが生成されてすぐに入力していますか?あまりにも時間が経っていると正しく機能しません。切り替わってから数秒~十数秒程度は切り替わる前のワンタイムパスワードも受け付けられます。
  • 手動で入力したキーが間違っていませんか?1文字でも間違っていると正しく機能しません。

リカバリーコードの確認と保存

リカバリーコードは必ず保存してください!
リカバリーコードを保存しないままスマートフォンが故障または紛失すると、二度とそのVRChatアカウントにログインできなくなるおそれがあります。

スマートフォンが故障または紛失した場合に備え、リカバリーコードを保存してください。
設定が完了するとこの画面が表示されます。Show recovery codesをクリックすると、10組の英数字が表示されます。記録してください。
Download recovery codesをクリックすると、このリカバリーコードをテキストファイルとしてダウンロードすることができます。既定ではVRChatRecovery.txtというファイル名で保存されます。
各コードは1回だけ使用できます。

メモアプリなど、スマートフォンにリカバリーコードを保存しないでください!

スマートフォンが故障または紛失すると、一緒になくなってしまいます!
パソコンやUSBメモリに保存するか、または印刷してバインダーに入れておくなどしてください。

スマートフォンが故障や紛失したなどの理由で再設定が必要な場合、または2段階認証を無効にしたい場合はDisableをクリックすると無効にすることができます。この操作をすると、リカバリーコードも無効になります。
再設定した場合、以前使用していた認証アプリのコードは使用できなくなります。

リカバリーコードを紛失した場合や見当たらない場合は、まだアカウントにログインできるうちに速やかに2段階認証を再設定してください。

スマートフォンを機種変更したい

Authyをご利用の場合で既存端末が1台でも利用できる場合、同じ電話番号とAuthyのバックアップパスワードがあればそのまま復元できます。既存端末での認証が必要です。

Authyで使用するバックアップパスワードは、VRChatアカウントのログインパスワードやリカバリーコードとは異なります。

Authyをご利用ではあるものの、既存端末がすべて利用できない場合はリセット操作が必要です。復元は可能ですが、数日待たされることになります。

スマホを初期化したらAuthyにログインできなくなった【解決済】 - こげろぐ
kogerakaju.com

もし認証アプリに機種変更の機能がない場合は、機種変更を行う前に2段階認証を解除してください。
その際、メールによる2段階認証に切り替わるため、登録メールアドレスが有効で受信できることを確認してください。

Authyにバックアップキーの設定または変更を求められました

セキュリティ強化のため、2023年5月頃からバックアップキーの再設定が必要になっています。
新しいバックアップキーを設定してください。以前はバックアップパスワードと呼ばれていました。

次のルールに従って設定する必要があります。

  • 12文字以上、24文字以内
  • アルファベットの大文字、小文字、数字、記号の4種類について、いずれも1文字以上含む

再設定後、Authyを複数の端末で使用している場合は、他の端末にも同じバックアップキーを設定する必要があります。

Friendly Reminderが出てきました

バックアップキーを忘れないようにするための定期的な案内です。バックアップキーを忘れると、2段階認証のトークンを復元できなくなるおそれがあります。
現在のバックアップキーを入力して、正しいことを確認してください。

デスクトップ版Authyが使えなくなると聞きました

デスクトップ版Authyは、2024年3月19日にサービス終了します。パソコンからはアクセスできなくなります。
iPhoneアプリまたはAndroidアプリを使用してください。

Just a moment...
support.authy.com

設定完了

2段階認証の設定は完了しました。お疲れさまでした。
次回以降、VRChatアカウントにブラウザ、クライアント、SDKからログインするときはワンタイムパスワードを要求されます。

ユーザー名またはメールアドレスとパスワードを入力すると、ワンタイムパスワードの入力を求められます。アプリに表示されたワンタイムパスワードを入力して、Verifyをクリックします。

スマートフォンが故障、紛失、盗まれたとき

認証アプリの入ったスマートフォンが故障、紛失、または盗まれたときはリカバリーコードが必要です。
リカバリーコードをダウンロードしている場合は、パソコン内をVRChatRecovery.txtで検索してください。

ログイン時にUse a recovery code insteadをクリックすると、リカバリーコードの入力を求められます。
10個あるうちの、いずれかのリカバリーコードを入力してください。

リカバリーコードは一度使用すると無効になります。使ったリカバリーコードは印をつけてください。
また、認証アプリが使用できない状況で10個のリカバリーコードを使い切ると二度とログインできなくなります。リカバリーコードを使い切る前に、2段階認証を無効にするか、再設定してください。

リカバリーコードには数に限りがあるため、クライアントまたはSDKでのログインに常用するべきではありません。アプリが使用できない状態が続く、もしくは紛失した場合は速やかに再設定してください。

おわりに

最後までお読みいただき、ありがとうございました。

念のため、お手元に次の2つがいずれもあることを改めてお確かめください。

  • 有効な認証アプリ
  • 10個のリカバリーコード(1個だけではなく、10個すべてのコードを保存していることを確認してください)
タイトルとURLをコピーしました