当記事は商売のように広告料を得るリンクを採用。記事の出来が悪ければ容赦なく避け、情報だけ頂くといい。
実はスマホに「アカウント情報」と「2段階認証アプリ」が揃っており、紛失時にスマホだけで侵入されるケースがある。
そこで、スマホを落としたとしてもYubiKey(ユビキー)という「業界No.1セキュリティキー」で解錠する設定をして、スマホ完結だったものが「ログインは手元にあるYubiKeyも必須」で何とかなるかもしれない。
お財布や鍵、個人情報などをスマホに寄せた「スマホで何でもできる」状態のこと。
YubiKeyとは?機能はいっぱいあるが……
適当に言うと「Yubico社の電源不要な鍵として使うスマホじゃない2段階認証(2要素認証)ツール」。
一般向けメリットは、落としたスマホから何かのアカウント情報が流出しても、対応サービスでYubikey(セキュリティキー)が物理的に要求され、オンライン不正アクセスに保護階層が働く。
そのおかげでパスワードの簡略化も可能。
※勘違い防止:パスワードレスという意味で言ったわけではなく、利便性向上は大体しない。
そもそもパスワードレスにしちゃうと、「パスワードがYubiKeyに置き換わっただけ」だから保護階層は増えていないという(´ε`;) 不正アクセスには強くなるけど、物体だから落としたらまずいしー
また、FIDOなど難しい認証方法の話は「見なくても使いこなせる」ため無視でいい。
「自分の使うサービス」を後述する対応サービス一覧で調べ、「対応しているサービスはYubiKeyを使う」で問題なく、大体YubiKey 5 NFCを選んでおけば使えないこともほぼない。
YubiKeyの機能
引用:ワンタイムパスワードトークンYubiKey |(株)ソフト技研
・FIDO U2F & FIDO2
・OATH-TOTP
・Smart Card、IC Card(PIV-Compatible)
・OpenPGP
・2つのスロットにそれぞれに設定できる機能
・Yubico OTP
・OATH-HOTP
・チャレンジレスポンス
・安全な静的パスワード
・Symantec VIP
最大6つの認証方法を同時に使えるらしいが、やりすぎセキュリティでは基本「挿して認証」のどれかしか使わない。
具体的には、対応サービスを見る限りチャレンジレスポンス・FIDO U2F & FIDO2・OTP(ワンタイムパスワード)をよく使う模様。
チャレンジレスポンスと公開鍵基盤(PKI)を組み合わせた最高技術で、ユーザー情報もしくは暗号鍵がサービス提供者間で共有されません。
引用:ワンタイムパスワードトークンYubiKey |(株)ソフト技研
他にも秘密鍵の管理、TwitterやGoogleなど依存率の高い海外サービスで使えるため、本当に守りたいパスワード管理ソフトや現実へ紐付けられると困るSNSアカウントで使うといいだろう。
使った感じ利便性向上はまずなく(パスワードレス以外)、あくまでセキュリティ向上ツール。
なお、耐クラッシュ性と防水の洗濯耐性、車で引きずっても問題ないほど頑丈であり、いつもながらバックアップ(リカバリー)コードが各サービスあるはずなので、最悪壊れても保険はある。
耐衝撃
引用:ワンタイムパスワードトークンYubiKey |(株)ソフト技研
・最大曲げ応力(max bending force)は、25Nです。(25N=2.5kgf)
・IP68に認定されています。(IPは、防水・防塵性能を示します)
・粉塵の侵入を完全に防ぎ、かつ長時間水没しても影響がありません。
・YubiKeyはABS樹脂でできています。
・YubiKey4は過電流対策を行っており、現在のところ、問題は報告されていません。
・洗濯機で熱・水・洗剤を加えて洗濯しても問題ありません。
・水深48mの塩水に2か月沈めても問題なく利用できます。
・車でYubiKeyを引きずっても問題ありません。
耐抜き差し回数
・10,000回までの自動差し込みテストを行い、機能や安全面での影響がないことを確認しています。
・また摩耗による重大な影響も発生していません。
・10,000回を超える電源ON/OFFのストレステストに合格しています。
取り扱いは鍵と同じでジャラジャラ。
スマホケースに鍵入れまで付いているミニマリスト大好きケースは、平和ボケの集大成なので今すぐ破棄。
どの種類がいいの?無印YubiKey・YubiKey 5 NFCの違い
番号のついたYubiKey 5シリーズが失敗しない選択で、番号のないもの・YubiKey呼びではない青いSecurity Keyは対応していないことが結構ある。
※そのため、青いSecurity Keyは後述する対応サービス一覧で使えるか確認必須。
例としてWindows(Webとは別)やMacの起動時ログインに青いSecurity Keyは使えない(タイプは差込口の形状)。
※変換器を使いタイプAをCにしたところ、Windowsログインで認証できたため使える模様(CからAは後述するが規格違反らしいのでNG)。
また、NFCがないとタッチ接触部分無しであったりするため(指紋とは別もの)、やはり「NFCは不要」だろうが「青いSecurity KeyではNG」の時点で5 NFCにしちゃって良い。
NFCで残念なのは、搭載ノートパソコンがLenovoや日本社パソコンくらいしかないレアで(購入前に要調査)、デスクトップは当然ないので実質スマホ用機能。
一応「ICカードリーダーのNFC対応」があるので、電子マネーチャージやe-Taxで確定申告をする方は実験の価値あり。
各認証方法に上限がある模様。ほぼガチ勢にしか関係がないほど使い切れないので、ガチ勢のみ公式参照(テクニカルマニュアルなだけある)。
対応サービス一覧
使えなければ意味がない。
現在のリンク先はYubico公式(英語)で、青いSecurity Keyが非対応なものは「青×」と記載しておく(黒いYubiKey 5シリーズはほぼ対応なので無視)。
Windows起動時サインイン(ログイン)やKeePassなど、オフライン系に青いSecurity Keyは対応していない(そもそもFIDOのOはオンラインのO)。青×の殆どは青だけ使えないワンタイムパスワードかチャレンジレスポンス機能を使うせいである。
YubiKeyが使えるサービス一覧はプルダウンで選別できるため、うまく活用しよう。
- Security Protocol:チャレンジレスポンスやFIDO2で絞れる
- Category:カテゴリーで絞れる
- YubiKey:対応YubiKeyで絞れる
- Company:会社名検索欄
該当サービスを選択すると「Get Setup Instructions(セットアップ手順を取得)」ボタンがあり、そこから該当サービス公式かYubicoブログ(英語)へ飛べる。
※Twitterなどは日本語があるのでページ上部か下部にある言語変更(Language)。
対応YubiKey・OS・機能は「Get Setup Instructions(セットアップ手順を取得)」ページと同じ場所下段にアイコンや英語で表示されており、すごくわかりやすいので活用しよう。
※互換性のある過去のレガシー系(主にYubiKey 4)はさらに下に文字で表記されている。
なお、日本のサービスは何らかの2段階認証すら対応しておらず(任天堂発見!)、数百年は期待できない。
購入方法:公式か正規代理店から買うこと
物理的な細工をされる可能性を避けるためにも、公式(ドル決済)か日本正規代理店で購入すること。
日本の正規代理店で1つから購入可能なのは、株式会社ソフト技研とPJ-T&C合同会社のAmazonしかない。
なので、購入の際は販売元(発売元)が「株式会社ソフト技研」か「PJ-T&C合同会社」になっているか要確認(Amazon販売元の場合もあるが、何が違うのかわからない)。
上記に無いものは公式(ドル決済)しかなく、最新のものは公式で確実に置いている。
正式な代理店はYubico公式ページで調べられ、不審なことがあれば「japan」と検索をかけてみよう(2020年時点で再販業者5つ:ほぼ法人向け、楽天やYahooショッピングに正規代理店なし)。
また、Yubicoいわく2つ用意推奨であり(紛失時もう1つでログイン作戦)、バックアップ(リカバリー)コードの保管方法を考えるのが煩わしいのなら予算と相談するといい。
PC破壊!?USBタイプAからCへの変換は○、CからAは規格違反
万が一USBタイプA(差込口の形状)が使いづらくタイプCにしたい場合は、以下で認識を確認。
スマホは対応していても、ブラウザが未対応!?
ブラウザ側が対応していないと使えないようだ。
参考Operating system and web browser support for FIDO2 – Yubico
FIDOはブラウザを使う機能であるため、このような制限がある。
セキュリティに詳しいとマイナーなブラウザに手を出しがちなので、そこはどうにかしよう。
ブラウザ対応を調べてくれるサイトの方では、Operaも対応済みの模様。
参考Can I use… Support tables for HTML5, CSS3, etc(緑色が対応済み)
また、FirefoxのAndroid版に問題があり、パソコンでYubiKeyを使えても、AndroidのFirefoxでは使えないようだ(3年前の話)。
*The current version of Firefox no longer supports FIDO on Android. Firefox is working to resolve the issue.
引用:Operating system and web browser support for FIDO2 – Yubico(Android対応表の下)
*Firefoxの現在のバージョンでは、AndroidでFIDOをサポートしていません。Firefoxはこの問題の解決に取り組んでいる。
結構日にちが経っているなら、上記引用元を見て更新されているか確認するといい。
※情報提供者セキュリティ猫さん
Firefoxでウェブサービスへのログインで使う場合、WindowsではyubikeyでログインできますがAndroidだとログイン時の2段階認証にセキュリティキーを選択するとエラーになります。
引用:セキュリティ猫さんのコメント
AndroidならChrome、iOSなら(試していませんがおそらく)Safariは対応していると思いますが、それ以外のブラウザを使っている人はスマホでも使えるか確認が必要かもしれません。
またTwitterのように、2本以上セキュリティキーを登録できないというパターンもありました。
ミスしたら詰む!紛失や壊れたときの準備
Yubicoいわく紛失時用に「2つ用意して2つとも設定推奨」だが、設定時にバックアップコードまたはリカバリーコードをYubicoではなくサービス毎に発行可能なはずであり、それを使えば緊急ログインは可能である。
ただ、それらのコードをパスワード管理ソフト・アプリに入れてしまうと、「YubiKey紛失時そのパスワード管理ソフトにYubiKeyを設定していた」場合入れずに詰む。
更に言うとYubiKey設定済みパソコンへログインする際にもコードが必要となり、予めコードを「YubiKeyが必要のないどこかに保存」していないと詰む。
なので、「コードだけ盗まれようがそれだけでは何もできない状態」をうまく使い、セキュリティの落としどころを探る。
といっても、以下の中から2つやっておけばいい。
- 家:紙に書いたコードを保管(鍵とは別の場所のお財布でもOK:同時紛失防止)
- 家:USBメモリにコードを保管
- コードをスマホで撮る(画像じゃなくてもOK)
※YubiKey2つ用意と家保管が実は同じ条件であることを活用。
手元のコードと一緒にパスワードも保管すると侵入されるため、どれもコード専用として取り扱い、緊急時ログインはデジタルだろうが手動入力なので覚悟すること。
効率的なのはPDFを印刷 → そのPDFをスマホに保存など。
小ネタとして、紙や画像に「Googleアカウント」と記述しておけば、万が一紛失したときに拾った側はGoogleアカウントと勘違いするためお得。
どうするべきかをコメント欄で聞いてもらえれば、頭が痛いけど私も考えます∩(・∀・∩
パスワード管理ソフト・アプリを導入していない人は蚊帳の外で申し訳ないが、時代に取り残されたくなければいい加減やること。
コメント
ためになりました。ありがとうございます。
いえいえ( ・ω・)/
このサイトあんまり有名じゃないのに、結構ファン多いんですよね。
私の人の良さが出tオラァ( っ・∀・)≡⊃ ゚∀゚)・∵.
色々調べて、追加の情報提供です。
Yubikey5シリーズの場合、FIDO U2F(2段階目の認証としてのセキュリティキー?)での登録は無制限に行えますが、FIDO2(MicrosoftアカウントのようなID・パスワードレス?)のログイン情報は25個、OATH-TOTPとOATH-HOTP認証のものは合わせて32個までと、デバイス仕様上の上限数があるようです。
試しに使ってみるというくらいの人ならば無関係でしょうが、パワーユーザーの場合は気にかける必要がありそうです。
それからFIDO2認証でPINコードを8回間違えるとロックされるようなことが書いてありますが、そのあたりの対処法なども検証していただけると、非常にありがたいです。
YubiKey 5 Series Technical Manual – Yubico
https://support.yubico.com/hc/en-us/articles/360016614900-YubiKey-5-Series-Technical-Manual
YubiKeyガチ勢用に上限注意事項を追記しておきました。
ちょっと無理やりな感じかも。
えーーー(´ε`;)
すっごいめんどくさそう……
「設定をするなら公式を参照」作戦にしようかな( Ꙭ)
どちらにせよやること立て込んでいるので、すぐ追記できなそうなのは後回しします!
yubikeyというかセキュリティキーは、Windowsだと問題なく使えても、スマホの場合ブラウザが対応していないというパターンがあるようです。
例えば、Firefoxでウェブサービスへのログインで使う場合、WindowsではyubikeyでログインできますがAndroidだとログイン時の2段階認証にセキュリティキーを選択するとエラーになります。
AndroidならChrome、iOSなら(試していませんがおそらく)Safariは対応していると思いますが、それ以外のブラウザを使っている人はスマホでも使えるか確認が必要かもしれません。
またTwitterのように、2本以上セキュリティキーを登録できないというパターンもありました。
明日色々調査して、スマホのどのブラウザが対応なのかとデメリットを追記しておこうと思います!
追記:スマホは対応していても、ブラウザが未対応!?
FIDOの話なのかな?まったくわからない適当で書いちゃったけど、あってそうなので強行しちゃった(゚~゚o)
すごくそれっぽい
対応が早い!追記ありがとうございます。
他にもMicrosoftアカウントはセキュリティキーのみでログインできますが、スマホだとそもそもキーでログインの項目自体が無いなど、まだメジャーなツールではないだけに罠の多い認証方法なのかもしれません。
ところで、コメントを書いた後に調べて試してみたのですが、YubicoAuthenticatorを使うとYubikeyにTOTPのシークレットキー情報を保存して認証アプリとして使えるようです。
これならセキュリティキーに対応していないサービスでも、2段階認証にYubikeyを使えるという利点がありますし、何よりスマホやPCなどパスワード管理ソフトのある端末と同じところに2段階認証のデータを保存しないのはセキュリティ的に強力ですね。
Yubikeyから読み取るので、複数端末間の同期や機種変更も設定不要でできるのもメリットです。
オープンソースというのも良いですね。
記事中に記載が無かったですが、これはまさに「やりすぎセキュリティ」的内容だと思うので、Yubikey活用法の一つと認証アプリ第三の選択肢として、是非取り上げてほしいです。
Yubico Authenticator App for Desktop and Mobile | Yubico
https://www.yubico.com/products/services-software/download/yubico-authenticator/
パソコンで登録できても、サービス側がスマホで未対応シリーズ結構多そうだから、詰んでないことにつけこんで無視するかも(´ε`;)
あまり理解してないけど、YubiKeyを2段階認証アプリの代わりにできるってことですか?
これは書かないといけないやつだ!
また一つ仕事が増えたのであった(゚~゚o)
>YubiKeyを2段階認証アプリの代わりにできるってことですか?
そうですね、Yubikeyに保存した秘密鍵の情報を、YubicoAuthenticatorアプリで読み取ってワンタイムパスワードを表示するという形です。
実験確定!
本当にありがとうございました!!
いえいえ( ・ω・)/
パソコンしか使えない化石人間です(スマホを持っていません)(パスワード管理にはKeePass使用)。
二段階認証にYubiKeyが良いのではと探していて、ぷっぷ様のブログにたどり着きました。
公式サイトはドル決済なので私にはハードルが高く、日本のAmazonで購入しようと思っています。
ここで質問です。
Amazonでは、1)販売・発送ともPJ-T&C合同会社のものと、2)販売は株式会社ソフト技研で発送はAmazonとありますが、
どちらが良いと思われますか?
バカバカしい質問かもしれませんが、なにとぞご教示お願いいたします。
「誰かの手に渡った判定の数」的にはPJ-T&C合同会社の方が有利ですね∩(・∀・∩
※私は正規代理店を落としどころとしているため、あとはその時の価格次第。
ちなみに、PJ-T&C合同会社が販売開始したのは最近の2020年10月頃だったと思うので、それまではソフト技研しかありませんでした。