1T1A6529

シンジです。みなさん多要素認証は使ってますか?今時インターネットでいろんなサービスにログインするときには、ユーザー名(アカウント名)とパスワードだけでは危険な時代になっています。そこで、スマホにとある数字のメッセージが送られてきたり、アプリを使って固有の数字が発行されたものを入力するなどした多要素認証が効果的なのですが、いや、効果が高いのはすごくよく分かるのですが、ログインボタン押した後に数字入れろと言われたときのガッカリ感も否めないので、シンジは多要素認証を継続しつつも数字を入れるのを辞めました。

どういうことかといいますと

先にネタばらしすると、YubikeyというUSBポートに挿す製品がありまして、これすごく良く出来ていて、

  • とりあえずMacとかパソコンに挿す
  • なんかログインする
  • 多要素認証のアレ聞かれる
  • Yubikeyを「触る」
  • ログイン完了

まじかっけーやべーほしー買うわー買いましたー

Yubikeyにもいろいろ種類があるのですが

今回買ったのはnanoといって最小サイズのタイプです。TOPの画像もっかい貼りますが、この写真の中にYubikey本体が置いてあります。極小サイズです。

1T1A6529

これくらい

1T1A6531

すげー小さい

1T1A6524

挿すとこんなかんじ、ピカピカ光る

1T1A6523

抜き差しするタイプもありますよ

yubi-sumaho

ここ触る感じ

yubi-sawaru

どんなことができるかっていうと

  • 多要素認証のデバイスになる
  • OSログインの時の鍵にもなる
  • 抜くとスクリーンセーバーでロックかかるとか出来る
  • SSHでサーバーにログインするときの鍵に出来る
  • SSHでサーバーにログインするときの多要素にも出来る
  • SSHの鍵管理ができちゃう

思いついただけでこれくらいですが、なんかですね、すげーいろいろ出来るらしいんです。出来る事多すぎて追い切れてないです。

管理ツールがあるので、お好きにカスタマイズ

yubi-conf

触る時間によって、「スロット」を選べるようになっていて、シンジは、軽くタッチしたときは多要素認証とかワンタイムパスワードの発行をして、3秒触ったときは、ドメインのパスワード(パソコンのパスワード)を入力するように設定しています。テスト的に。

というのも、誰が触っても反応するので、挿しっぱなしにして放置するとちょっとアレゲなんですよね。

でっかいタイプの買えば良かったかなー

と思いつつも、デバイスが完全に固定されているシチュエーションがあって、cloudpackのセキュリティルームとかって、操作端末(Win)が固定IPの有線LANで据え置きなので、こーゆーところではいいかもと思ったりしました。要するに、セキュリティルーム内でしか認証されないデバイスということで、そこに挿しっぱなしにしておく的なノリです。

Yubikeyに対応しているサービスでしか使えません

が、結構ありました。とりあえずGoogleとか、cloudpackの場合はPing Federateでシングルサインオンしてるのですが、Yubikey対応してました。すげえ。早速シンジのアカウントだけYubikeyを有効にします。

ping-01

これ、シングルサインオンの1段階目、パソコンのログイン情報を入力します。そうすると、

ping-02

Yubikeyキタ━(・∀・)━!!!!
ここでおもむろにタッチしてあげると、ススッとログイン完了します。

昨日、大阪出張だったのですが

Yubikey持って行かなかったんですよ。ログインできませんでしたね。あたりまえだ。しかも持って行った端末がiPad Proだったので。USB刺さらねーよっていう。

というわけで謎の数字達から俺は解放されたい

スマホからログインしたときとかどうすんだ問題とかいろいろ課題はあるので、もうちょっと遊んでみたいと思います。

YubikeyはAmazonからも買えますが

最新モデルを公式から買うのがいい感じだと思いました

Compare YubiKeys | Strong Two-Factor Authentication for Secure Logins | Yubico
https://www.yubico.com/products/yubikey-hardware/

元記事はこちら

多要素認証の数字入れるのが面倒すぎて辞めた