シンジです。パスワードを自分の代わりに覚えてくれるサービスってありますよね。LastPassとか1Passwordとか。でもそれってブラウザ経由が基本だし、そもそも各サービスのパスワードを定期的に変更してくれるわけじゃないし、更にはアプリが入ってないと自動入力してくれないし、マスターパスワードは複雑にして覚えなきゃいけない。とまぁなんかいろいろ穴があるような気もしています。そこでYubikeyです。
パソコンのログインパスワード、もはや本人すら知らない
3ヶ月に1回のパスワード定期変更とかやってますか?あれマジで面倒だと思うんです。なのでシンジはもう辞めようと思います。そこでYubikeyです。
最新のYubikeyは、1秒触るとワンタイムパスワード、3秒触るとスロット2番目のスタティックパスワードを自動入力してくれます。ということでシンジはActive DirectoryのドメインのパスワードをYubikeyの2スロット目のパスワードにしています。
といいますのは、
- パスワードを求められます
- おもむろにYubikeyをUSBポートに挿します
- 自分しか知らないけどクッソ簡単なパスワードを入力します4桁のPINとか6桁とか
- Yubikeyを3秒触ります
- 38桁のパスワードに変身してログインします
MacでもWindowsでもいけますね。
多要素認証でYubikeyを使う
普通はバーチャルMFAと呼ばれる、Google Authenticatorとかを使って、謎の6桁の数字を確認して、入力してってやると思うのですが、もはやそれすら面倒なので、Yubikeyを使えば触るだけで毎回違うワンタイムパスワードでログインしてくれます。
こんな感じのパスワードです
ccccccevbcfjnjvkbifkrhuhdvkcfvjltefdkjdcbnrf
ccccccevbcfjccgurbjvfbunljjfrevnctkhjlgrvijv
ccccccevbcfjfkrjltfnfinnvfclnfdnvliflnngjtlb
ccccccevbcfjerclkrbdiuhlikgdnnueevdltrcudjln
ccccccevbcfjubclhunugnjvekuunuhugeekljefnggd
5回触ってみました。勝手に入力してくれます。Yubikeyはキーボードデバイスとして認識します。触ると勝手に入力する感じ。
そう、もはやYubikeyを持っている人しか絶対にログインできない仕様なのです。
課題もある
10人くらいなら管理者が適当にツール使ってセットアップすればいいのですが、これ数千人規模だったらどうすりゃいいんだ。APIもあるのですが、物理キーなので挿さないとセットアップできないし。。。んーこの辺は課題。
なので、セキュリティにうるさそうな部署や、やたらとパスワードを忘れる人を人柱にして、少しずつ導入していこうかなと検討中。
cloudpackの認証基盤はActive DirectoryとPing Federateなのですが
Ping Federateの多要素認証は基本的にPing IDといわれるものになりますが、Yubikeyも対応しているのですんなり導入出来ます。ポイントは、みなさんがお使いのサービスがYubikeyに対応しているかどうかにかかっています。GoogleなんかはYubikeyに対応しているので、Google AppsやGoogleなクラウドサービスはYubikeyを使ってセキュアなログインを実現可能です。事前に確認すると良いです。
もしYubikeyを紛失、故障したときも想定すると、ローカルでアカウント管理してる人は工夫が必要です。Active Directoryの場合は管理者がユーザーのパスワードリセットすれば済む話ですが、ローカルの場合はそうはいかないので、メインのアカウント以外に管理者アカウントを発行しておくとか。ADだとしてもこれはやっておいた方がオススメです。
cloudpackの場合は、多要素に限っては、YubikeyとPing IDの複数登録・併用が可能になる予定なので、この辺りの心配はあまりありません。
もしYubikeyが欲しいと思ったら
v4以降の最新版がオススメです。NFC対応版もあるので、もはやUSBポートに挿さずして動作するものもあります。
Compare YubiKeys | Strong Two-Factor Authentication for Secure Logins | Yubico
https://www.yubico.com/products/yubikey-hardware/
LinuxのSSHログインなどにも使えるらしいのですが
まだそこまでシンジは使えていませんので、ご興味ある方は適当に購入して是非情報共有をwww