当記事は商売のように広告料を得るリンクを採用。記事の出来が悪ければ容赦なく避け、情報だけ頂くといい。
実はスマホに「アカウント情報」と「2段階認証アプリ」が揃っており、紛失時にスマホだけで侵入されるケースがある。
そこで、スマホを落としたとしてもYubiKey(ユビキー)という「業界No.1セキュリティキー」で解錠する設定をして、スマホ完結だったものが「ログインは手元にあるYubiKeyも必須」で何とかなるかもしれない。
お財布や鍵、個人情報などをスマホに寄せた「スマホで何でもできる」状態のこと。
YubiKeyとは?機能はいっぱいあるが……
適当に言うと「Yubico社の電源不要な鍵として使うスマホじゃない2段階認証(2要素認証)ツール」。
一般向けメリットは、落としたスマホから何かのアカウント情報が流出しても、対応サービスでYubikey(セキュリティキー)が物理的に要求され、オンライン不正アクセスに保護階層が働く。
そのおかげでパスワードの簡略化も可能。
※勘違い防止:パスワードレスという意味で言ったわけではなく、利便性向上は大体しない。
そもそもパスワードレスにしちゃうと、「パスワードがYubiKeyに置き換わっただけ」だから保護階層は増えていないという(´ε`;) 不正アクセスには強くなるけど、物体だから落としたらまずいしー
また、FIDOなど難しい認証方法の話は「見なくても使いこなせる」ため無視でいい。
「自分の使うサービス」を後述する対応サービス一覧で調べ、「対応しているサービスはYubiKeyを使う」で問題なく、大体YubiKey 5 NFCを選んでおけば使えないこともほぼない。
YubiKeyの機能
引用:ワンタイムパスワードトークンYubiKey |(株)ソフト技研
・FIDO U2F & FIDO2
・OATH-TOTP
・Smart Card、IC Card(PIV-Compatible)
・OpenPGP
・2つのスロットにそれぞれに設定できる機能
・Yubico OTP
・OATH-HOTP
・チャレンジレスポンス
・安全な静的パスワード
・Symantec VIP
最大6つの認証方法を同時に使えるらしいが、やりすぎセキュリティでは基本「挿して認証」のどれかしか使わない。
具体的には、対応サービスを見る限りチャレンジレスポンス・FIDO U2F & FIDO2・OTP(ワンタイムパスワード)をよく使う模様。
チャレンジレスポンスと公開鍵基盤(PKI)を組み合わせた最高技術で、ユーザー情報もしくは暗号鍵がサービス提供者間で共有されません。
引用:ワンタイムパスワードトークンYubiKey |(株)ソフト技研
他にも秘密鍵の管理、TwitterやGoogleなど依存率の高い海外サービスで使えるため、本当に守りたいパスワード管理ソフトや現実へ紐付けられると困るSNSアカウントで使うといいだろう。
使った感じ利便性向上はまずなく(パスワードレス以外)、あくまでセキュリティ向上ツール。
なお、耐クラッシュ性と防水の洗濯耐性、車で引きずっても問題ないほど頑丈であり、いつもながらバックアップ(リカバリー)コードが各サービスあるはずなので、最悪壊れても保険はある。
耐衝撃
引用:ワンタイムパスワードトークンYubiKey |(株)ソフト技研
・最大曲げ応力(max bending force)は、25Nです。(25N=2.5kgf)
・IP68に認定されています。(IPは、防水・防塵性能を示します)
・粉塵の侵入を完全に防ぎ、かつ長時間水没しても影響がありません。
・YubiKeyはABS樹脂でできています。
・YubiKey4は過電流対策を行っており、現在のところ、問題は報告されていません。
・洗濯機で熱・水・洗剤を加えて洗濯しても問題ありません。
・水深48mの塩水に2か月沈めても問題なく利用できます。
・車でYubiKeyを引きずっても問題ありません。
耐抜き差し回数
・10,000回までの自動差し込みテストを行い、機能や安全面での影響がないことを確認しています。
・また摩耗による重大な影響も発生していません。
・10,000回を超える電源ON/OFFのストレステストに合格しています。
取り扱いは鍵と同じでジャラジャラ。
スマホケースに鍵入れまで付いているミニマリスト大好きケースは、平和ボケの集大成なので今すぐ破棄。
どの種類がいいの?無印YubiKey・YubiKey 5 NFCの違い
番号のついたYubiKey 5シリーズが失敗しない選択で、番号のないもの・YubiKey呼びではない青いSecurity Keyは対応していないことが結構ある。
※そのため、青いSecurity Keyは後述する対応サービス一覧で使えるか確認必須。
例としてWindows(Webとは別)やMacの起動時ログインに青いSecurity Keyは使えない(タイプは差込口の形状)。
※変換器を使いタイプAをCにしたところ、Windowsログインで認証できたため使える模様(CからAは後述するが規格違反らしいのでNG)。
また、NFCがないとタッチ接触部分無しであったりするため(指紋とは別もの)、やはり「NFCは不要」だろうが「青いSecurity KeyではNG」の時点で5 NFCにしちゃって良い。
NFCで残念なのは、搭載ノートパソコンがLenovoや日本社パソコンくらいしかないレアで(購入前に要調査)、デスクトップは当然ないので実質スマホ用機能。
一応「ICカードリーダーのNFC対応」があるので、電子マネーチャージやe-Taxで確定申告をする方は実験の価値あり。
各認証方法に上限がある模様。ほぼガチ勢にしか関係がないほど使い切れないので、ガチ勢のみ公式参照(テクニカルマニュアルなだけある)。
対応サービス一覧
使えなければ意味がない。
現在のリンク先はYubico公式(英語)で、青いSecurity Keyが非対応なものは「青×」と記載しておく(黒いYubiKey 5シリーズはほぼ対応なので無視)。
Windows起動時サインイン(ログイン)やKeePassなど、オフライン系に青いSecurity Keyは対応していない(そもそもFIDOのOはオンラインのO)。青×の殆どは青だけ使えないワンタイムパスワードかチャレンジレスポンス機能を使うせいである。
YubiKeyが使えるサービス一覧はプルダウンで選別できるため、うまく活用しよう。
- Security Protocol:チャレンジレスポンスやFIDO2で絞れる
- Category:カテゴリーで絞れる
- YubiKey:対応YubiKeyで絞れる
- Company:会社名検索欄
該当サービスを選択すると「Get Setup Instructions(セットアップ手順を取得)」ボタンがあり、そこから該当サービス公式かYubicoブログ(英語)へ飛べる。
※Twitterなどは日本語があるのでページ上部か下部にある言語変更(Language)。
対応YubiKey・OS・機能は「Get Setup Instructions(セットアップ手順を取得)」ページと同じ場所下段にアイコンや英語で表示されており、すごくわかりやすいので活用しよう。
※互換性のある過去のレガシー系(主にYubiKey 4)はさらに下に文字で表記されている。
なお、日本のサービスは何らかの2段階認証すら対応しておらず(任天堂発見!)、数百年は期待できない。
購入方法:公式か正規代理店から買うこと
物理的な細工をされる可能性を避けるためにも、公式(ドル決済)か日本正規代理店で購入すること。
日本の正規代理店で1つから購入可能なのは、株式会社ソフト技研とPJ-T&C合同会社のAmazonしかない。
なので、購入の際は販売元(発売元)が「株式会社ソフト技研」か「PJ-T&C合同会社」になっているか要確認(Amazon販売元の場合もあるが、何が違うのかわからない)。
上記に無いものは公式(ドル決済)しかなく、最新のものは公式で確実に置いている。
正式な代理店はYubico公式ページで調べられ、不審なことがあれば「japan」と検索をかけてみよう(2020年時点で再販業者5つ:ほぼ法人向け、楽天やYahooショッピングに正規代理店なし)。
また、Yubicoいわく2つ用意推奨であり(紛失時もう1つでログイン作戦)、バックアップ(リカバリー)コードの保管方法を考えるのが煩わしいのなら予算と相談するといい。
PC破壊!?USBタイプAからCへの変換は○、CからAは規格違反
万が一USBタイプA(差込口の形状)が使いづらくタイプCにしたい場合は、以下で認識を確認。
スマホは対応していても、ブラウザが未対応!?
ブラウザ側が対応していないと使えないようだ。
参考Operating system and web browser support for FIDO2 – Yubico
FIDOはブラウザを使う機能であるため、このような制限がある。
セキュリティに詳しいとマイナーなブラウザに手を出しがちなので、そこはどうにかしよう。
ブラウザ対応を調べてくれるサイトの方では、Operaも対応済みの模様。
参考Can I use… Support tables for HTML5, CSS3, etc(緑色が対応済み)
また、FirefoxのAndroid版に問題があり、パソコンでYubiKeyを使えても、AndroidのFirefoxでは使えないようだ(3年前の話)。
*The current version of Firefox no longer supports FIDO on Android. Firefox is working to resolve the issue.
引用:Operating system and web browser support for FIDO2 – Yubico(Android対応表の下)
*Firefoxの現在のバージョンでは、AndroidでFIDOをサポートしていません。Firefoxはこの問題の解決に取り組んでいる。
結構日にちが経っているなら、上記引用元を見て更新されているか確認するといい。
※情報提供者セキュリティ猫さん
Firefoxでウェブサービスへのログインで使う場合、WindowsではyubikeyでログインできますがAndroidだとログイン時の2段階認証にセキュリティキーを選択するとエラーになります。
引用:セキュリティ猫さんのコメント
AndroidならChrome、iOSなら(試していませんがおそらく)Safariは対応していると思いますが、それ以外のブラウザを使っている人はスマホでも使えるか確認が必要かもしれません。
またTwitterのように、2本以上セキュリティキーを登録できないというパターンもありました。
ミスしたら詰む!紛失や壊れたときの準備
Yubicoいわく紛失時用に「2つ用意して2つとも設定推奨」だが、設定時にバックアップコードまたはリカバリーコードをYubicoではなくサービス毎に発行可能なはずであり、それを使えば緊急ログインは可能である。
ただ、それらのコードをパスワード管理ソフト・アプリに入れてしまうと、「YubiKey紛失時そのパスワード管理ソフトにYubiKeyを設定していた」場合入れずに詰む。
更に言うとYubiKey設定済みパソコンへログインする際にもコードが必要となり、予めコードを「YubiKeyが必要のないどこかに保存」していないと詰む。
なので、「コードだけ盗まれようがそれだけでは何もできない状態」をうまく使い、セキュリティの落としどころを探る。
といっても、以下の中から2つやっておけばいい。
- 家:紙に書いたコードを保管(鍵とは別の場所のお財布でもOK:同時紛失防止)
- 家:USBメモリにコードを保管
- コードをスマホで撮る(画像じゃなくてもOK)
※YubiKey2つ用意と家保管が実は同じ条件であることを活用。
手元のコードと一緒にパスワードも保管すると侵入されるため、どれもコード専用として取り扱い、緊急時ログインはデジタルだろうが手動入力なので覚悟すること。
効率的なのはPDFを印刷 → そのPDFをスマホに保存など。
小ネタとして、紙や画像に「Googleアカウント」と記述しておけば、万が一紛失したときに拾った側はGoogleアカウントと勘違いするためお得。
どうするべきかをコメント欄で聞いてもらえれば、頭が痛いけど私も考えます∩(・∀・∩
パスワード管理ソフト・アプリを導入していない人は蚊帳の外で申し訳ないが、時代に取り残されたくなければいい加減やること。
コメント
ぷっぷさん
コメントありがとうございます。
耐久性と手軽さには魅力を感じるので一本買って試してみます。。
詳細を調べる気ないですけど、YubiKeyの指紋認証が正式に販売されたようです∩(・∀・∩
情報整理いただきありがとうございます。勉強になります。
いまいち理解できておらず、また現物が手元にないのでテストもできず、イメージできていませんので質問させてください
利用用途
・共有PCのWindowsLogonへ利用
・共有PCは5人から7人くらいが使います。
・人ごとにローカルアカウントを作成しています。
・Yubikeyを接続しただけで
Yubikey所有者のLogonuserの自動選択はできますか?
・Yubikeyを抜くときは、何もせずズバット抜いていいのでしょうか?(取り外し操作は必要?)
・Webサイトへのログインにyubikeyを使う場合、ほかのパスワード管理ソフトは必要でしょうか
例えば1Passwordなど。。(記事内にそのような記載が。。。)
素人の質問で申し訳ありませんがよろしくお願いします
個人でしか使ったことがないので、共有だとめっきり知識がないです(´ε`;)
なので、ある程度わかっている部分と、推測するといけそうなものだけ回答します。
多分できないです。
例えば、きゅうさんのログイン画面で他の方のYubikeyを入れても、「きゅうさんのYubikeyじゃないよ判定」になっちゃうと思います。
ズバっ!でOKです。
以前USBメモリをズバっと抜くとデータ消えかねない的なのがありましたが、もう最新のWindowsではそのようにはならず、これもズバっ!でOK。
YubiKeyは追加の保護階層でして、アカウント情報などは登録できないのです。
そのため、パスワード管理ソフトは別途必須です。1Passwordをご存知でしたら、Bitwardenを使うと幸せになれます。