TwitterやGoogleの二段階認証を物理で。Yubicoのセキュリティーキーを公式から購入してみた(注文から設定するまで)

ガジェット
スポンサーリンク

どうもこんにちは、@Tsut-psです。

SMSについての記事をみていたところ 傍受される可能性やサードパーティ製アプリに読み取られてしまう危険性など いろいろ書かれていたので、セキュリティについてちょっと不安になってきました。

そこで今回は、Yubicoの物理セキュリティーキーを実際に購入してみて、設定や使い勝手を検証してみました。※物理→ココ重要

スポンサーリンク

従来の方法ではダメなのか?

今まで筆者は、重要なサービス(GoogleやMicrosoft)の二段階認証のひとつに ”SMSコードで認証”を使用していましたが、これは ネットワーク上で作用するので ”完全に安全”と言い切れない点が怖くなったのです。

また、携帯電話の契約が切れた時に、この認証方法はたちまち役立たないものになってしまいます実際、支払いが遅れたときにAmazonにログインできなくなってしまったということがありました

 

ネットワークを使わないオフライン上で、かつ安全な方法といえば、最近 主流になった「6桁の30病で更新されるセキュリティーコード」があります。これらは、GoogleやMicrosoftなんかが出しているセキュリティーアプリで有効にできます。

しかし、これにも欠点があります。

「もしアプリを誤って消してしまったら」「スマホが壊れてしまったら」こんなときに。どうしようもありません(Microsoft Authenticatorならクラウドにバックアップがとれますが……)。

なので 第1の方法はセキュリティーコードにし、第2の方法にYubicoの物理セキュリティーキーを使うことで、リスクを分散しようとしたのが始まりでした。

 

ちなみに、それぞれのセキュリティーの安全性はこの記事を参考にしてみてください。

Googleの調査で判明した「最強のセキュリティ対策」
今やどこを向いても、誰かがアカウントセキュリティやプライバシーに関するアドバイスを与えてくれます。自分の大切なデータを守るさまざまな方法について教え...

SMSはいくつかの攻撃に対して脆弱性がありますが、

なんと、物理セキュリティーキーが「ボット・フィッシング・標的型」のそれぞれのアタックで100%攻撃を防げています。

Yubicoの公式から、青い物理セキュリティーキーが届いた

より詳しく調べてみたところ、GoogleもMicrosoftも、セキュリティーキーを買うならと押していた企業が「Yubico(ユビコ)」でした。

現在では、Googleもセキュリティーキーを作るようになっているほど影響を受けています。

Google社員のフィッシングを0にした物理キー。余りの効果に、Google「もう自社でつくる」、元祖のYubicoは苦笑い
Yubicoが反応しました。最近のハックはメールが主流です。フィッシング詐欺はどんなプロも引っかかっちゃいますけど、Google社員はもう1年以上...

「Yubico」は 2007年のスウェーデンに生まれた会社で、今では多くの人に使われているようです。

オンラインストアがあったので、そこから”試しに”購入してみました。

YubiKeyでデジタルワールドを保護 | Yubico | Yubico

 

今回購入したのはこちら。

ちなみに、FIDOは「高速なログイン」みたいなイメージ。最近パスワードレス化が進み、指紋でログインできるようになったWebサイトなどは、この派生である「FIDO2」を使っているらしい。

Yubicoのこの青いキーも対応しているので、Webサイトの特殊な”パスワードレスログイン”なんかに問題なく使える。

 

購入方法(Amazon)

Amazonは少し高いです。まとめて輸入してるならもう少し安くてもいいのに……。

一応リンクを載せておきます。

購入方法(公式)

公式からのほうが安いのでおすすめです。ちなみに、バリバリ英語なので、翻訳を使ったほうがいいです。配達費込で25ドル(2800円ぐらい)。

※()内は意訳です

1. 公式サイト右上の「Store(オンラインで購入)」にいく

2. 気に入った製品の下にある「Buy Now(購入する)」を選択する

3. 個数を選択→「Add to Cart(カートに追加)」→「Proceed to Checkout(注文を進める)」で次に進みます

4. プロモーションコード(?)がある場合は入力して、「Checkout(購入に進む)」します

 

5. それぞれを入力します。法人などのビジネス関係の方は「Company Name(会社名)」を入力、個人の場合は空欄でおkです。住所は日本語でも届きました(心配な人は海外式で入力)。また、「Shipping Options(発送オプション)」で商品の追跡ができない「Standard(標準)」と追跡付きで早く届く「Express(速達)」が選べます。

6. 次に、決済情報を入力します。利用規約にチェックをいれ、カード払いの人は「Place Order」、PayPalの人は「PayPal」で注文を確定すれば、あとは待つだけです。

どのぐらいで届くのか?

日本時間の4月27日、夜中1時にPayPalで注文してみました。ちなみに”青キー”は25ドルだったので、配達手数料込みで「2,806円」でした。
Eメールで届いた注文/発送確認URLから、4月27日8時に「Shipped(出荷済み)」。
5月8日の昼あたりにポスト投かんで無事に届きました。

概ね予定通りに届きました。海外発送とあって少し不安でしたが、しっかり届いたので良かったです。

開封

スウェーデンからの贈り物。

早速 開封してみると……

小さなUSBのセキュリティーキーがでてきました。入っていたのはこれだけ。思ったより小さいです。厚さもそんなにないので、見た目はコンパクト。

会社の正式名称が「yubico」なのか「Yubico」なのか表記ゆれしていてわかりません(笑)

後ろには「Get started」の文字が。どうやら、「yubico.com/start」に詳しいやり方が載っているようですね。

表と裏。表にはくぼみがあり、そこにはなにやら”鍵のようなマーク”が。「2」というのは、2世代だとかFIDO2に対応したとか、いろいろな意味がありそうです(適当)。裏もスッキリしたデザインですね。

 

穴が空いているので、ストラップにもできそうです(実際は紛失が怖いので持ち運びませんが)

実際にノートパソコンに差し込んでみます。黒い方はマウスのUSB。

挿すときに、「固くて挿しづらい!」なんてことはありません。意外とあっさり挿し込めます。

挿した時に一瞬だけ光りました。鍵マークのところです。これもなにかの演出なのでしょうか……? 少しだけロマンを感じます(笑)

実際に設定してみる

さて、ココから実際にサイト側に認識させて、使ってみようと思います。

使用する環境はこんな感じ。

・Windows 10 Home (ノートパソコン)
・Google Chrome 最新版(当時)

まずは、Microsoftで認証できるようにしたほうがいいでしょう。それは、以下の理由からです。

→Microsoft アカウントの設定時にセキュリティーキー自体にパスワードを設定可能

Microsoftに物理キーを登録する際、PINキー(4桁数字)を設定する必要があります(理由は後述)。このとき、予め登録しておけば、他のサービス(例えばTwitterなど)にもコレが適用されます。逆に言えば、この設定以前に登録してしまうと、再設定しなければPINキー不要でもアクセスできてしまうことになるので、先に登録しておいたほうが無難でしょう。ただし、一部のサイトではPINを入力するかどうかが出てこない(つまり認証しなくていい)ものもあるので注意が必要です。

なので、Microsoftに登録→各種サービスに登録していきます。

Microsoft編(詳細)

Microsoftだけ、最近確立したとされる「パスワードレスログイン」に対応しています。代わりに、セキュリティキーを使う際にPINを設定するというわけです。

まずは公式サイトにアクセスします。Microsoftのアカウントページのことです。

ログインしたら、上にある「セキュリティ」に行き、「2段階認証」の”管理”をクリックします。

少ししたに行くと、「Windows Helloとセキュリティ キー」があるので、そこの”セキュリティ キーを設定します”を選択します。

すると、USBデバイス か NFC かを聞かれるので、今回購入したUSB版を選択。

Google Chromeが、セキュリティキーを使用するか訪ねてくるので、続行します。

出てきました。PINの設定です。先ほどの通り、Microsoftを設定するときだけ何故か出てくるやつです。設定しておいて損はないので、設定します。なお、当たり前ですが忘れないようにメモしておきましょう。

設定すると、セキュリティキーにタッチしてくださいの文字が。物理ボタンなんてなかったぞ……?

USBに目を向けてみると……。なんと、点滅しているではないですか!(ロマン……??)

ということで、鍵マークに手をそっと乗せると「サッ」と認証されました。

Chrome側でサイトアクセスの承認を聞かれるので、もう一度「許可」を選択。

無事 画面が切り替わり、成功したようです。すると、「名前をつける」の項目が出てきました。

適当に、「Yubicoのセキュリティキー」とでも付けて「次へ」をクリックします。「黄金の光る鍵」でもなんでも大丈夫みたいです。

すべての設定が完了しましたと出れば成功です。これで、パスワードレスでログインできます。

他のサービスでも試してみる

Twitterでの認証ではどうなるのでしょうか。

Twitterでは、アカウント>セキュリティ>二要素認証で二段階認証(正しくは二要素認証)の設定ができます。この中にある”セキュリティキー”がお目当ての項目ですね。

※二段階認証は単に2段階の認証であるという意味、2要素認証は2つの要素(パスワードを覚えているか/携帯や物理キーなどを持っているかの2つ)でログインする認証方法であることから、区別されています。ただし、2段階認証のほうが一般的になってしまったのでこのサイトでは統一しています。

実際にセキュリティキーを有効にしていきます。

まず、セキュリティキーを選択して、パスワードを入力します。

英語で何やら出てきます。

そのまま押し進めても問題ないです。が、一応翻訳するとこんな感じ。

twitterにログインする際、サポートされているブラウザを使って物理セキュリティキーでログインできます。パソコンのUSBポートにキーを挿し込むか、BluetoothやNFCでモバイル機器と連携することで可能です。(詳細はこちら)

この方法は、順を追って説明します。
(始める)

「始める」をクリックします。すると、(Microsoftに先に登録した場合のみ)PINコードの入力を求められます。

そして、セキュリティキーにタッチします。

「You’re all set(設定終わりっ!)」と表示されていれば、設定完了です。

ここも一応。

今から、互換性のあるブラウザで セキュリティキーを使用してTwitterにログインできるようになったよ。
(OK)

これで、ブラウザを使ってログインできるようになりました。ログイン方法から「別の方法」→セキュリティキーを選んで指定の動作(PIN→触れる)をするだけです。かんたんですね。あれれ……ログイン画面は何故か日本語でしたね。

動画だとこんな感じ。

(mp4 / 198KB)

結構スムーズにログインできます。

 

Googleでも使える

社員に物理キーを使ったらめちゃくちゃセキュリティ対策になってしまい、もはや自社でも作ると言って作っていたGoogleですが、Yubicoのやつでも もちろん使えます。

Googleアカウントの設定>セキュリティ>「2 段階認証プロセス」から設定できます。

「セキュリティ キー」がありましたね。

追加を押すと、「セキュリティ キーの選択」に入ります。なんと……Googleはスマートフォンをセキュリティキーとして認識させる技術を既に確立したようですね。この方法はまだGoogleでしか使えなさそうですが、未来でこれが普及するのもそう遠くはなさそうです。

といっても今回使うのはUSBなので「USB または Bluetooth – 外部セキュリティ キー」を選択します。

「セキュリティ キーをお持ちですか?」と出るので「次へ」

セキュリティ キーを挿入します。

(PINを求められたら入力して)タッチします。※GoogleをMSの前に登録したので今回は表示されていません。

Chromeがポップアップを出してくるので「許可」します。

画面が切り替わり、おなじみの「名付け」をします。どうやら文字制限があるみたいで、あまり長い名前は入れられないようです。

完了を押すと、設定終わりです。

ログインするときは、パスワードを入力したあとに(場合によっては)「別の方法を試す」→「セキュリティ キーを使用する」でタッチでログインできます。

かんたんですね。

 

他のサービスだと、Dropboxや1passwordでも使えるみたいです。

スポンサーリンク

まとめ:意外と難しくない。個人でもかんたんにセキュリティ対策向上に

Yubicoの物理セキュリティキー、おすすめです。

まとめらしいまとめをしておきます。

  • Yubicoのセキュリティキーは 最低25ドルで購入可能
  • USBタイプのものやBluetooth、NFCタイプもある
  • セキュリティ向上に効果てきめん
  • 実はGoogleイチオシ(自社製品作り始めた)
  • Chromeでかんたんセットアップ

個人でも十分オススメできるレベルだったので紹介させていただきました。以上!

 

Yubicoの公式サイトはこちらから↓

すぐに届く方はアマゾンから↓

コメントを残す

タイトルとURLをコピーしました