感想(Good)

• 携帯(ちうか、Android端末)で認証トークンを生成できるのは嬉しい。今までは各システム毎にRSAトークン表示器持たされていたし。
• 通信を使わずに済むのも嬉しい。PaypalみたいにSMSで送られてくると、日本に行ったときにお手上げ。
• 端末を無くしても、なつかしのS/Key OTPみたいな「非常鍵」を持ってれば安心。

感想(いまいち)

あたりまえだけど、認証側が2step verificationに対応してないと安心度は下がる。Android端末そのもののGoogle Account認証がまさにそれ。仮にAndroid端末を盗まれたら、別の端末で2step verificationのキーを破棄すればいいのだろうけど。

注意点

複数台の端末(AndroidやiPhone)にGoogle Authenticatorを導入する場合、同じ登録キーを使う必要がある。新たな登録キーを発行すると古いのは無効になるので注意。