yubikey-top

シンジです。パスワードを自分の代わりに覚えてくれるサービスってありますよね。LastPassとか1Passwordとか。でもそれってブラウザ経由が基本だし、そもそも各サービスのパスワードを定期的に変更してくれるわけじゃないし、更にはアプリが入ってないと自動入力してくれないし、マスターパスワードは複雑にして覚えなきゃいけない。とまぁなんかいろいろ穴があるような気もしています。そこでYubikeyです。

パソコンのログインパスワード、もはや本人すら知らない

P2153285

3ヶ月に1回のパスワード定期変更とかやってますか?あれマジで面倒だと思うんです。なのでシンジはもう辞めようと思います。そこでYubikeyです。

最新のYubikeyは、1秒触るとワンタイムパスワード、3秒触るとスロット2番目のスタティックパスワードを自動入力してくれます。ということでシンジはActive DirectoryのドメインのパスワードをYubikeyの2スロット目のパスワードにしています。

といいますのは、

  • パスワードを求められます
  • おもむろにYubikeyをUSBポートに挿します
  • 自分しか知らないけどクッソ簡単なパスワードを入力します4桁のPINとか6桁とか
  • Yubikeyを3秒触ります
  • 38桁のパスワードに変身してログインします

MacでもWindowsでもいけますね。

多要素認証でYubikeyを使う

yubikey-002

普通はバーチャルMFAと呼ばれる、Google Authenticatorとかを使って、謎の6桁の数字を確認して、入力してってやると思うのですが、もはやそれすら面倒なので、Yubikeyを使えば触るだけで毎回違うワンタイムパスワードでログインしてくれます。

こんな感じのパスワードです

ccccccevbcfjnjvkbifkrhuhdvkcfvjltefdkjdcbnrf
ccccccevbcfjccgurbjvfbunljjfrevnctkhjlgrvijv
ccccccevbcfjfkrjltfnfinnvfclnfdnvliflnngjtlb
ccccccevbcfjerclkrbdiuhlikgdnnueevdltrcudjln
ccccccevbcfjubclhunugnjvekuunuhugeekljefnggd

5回触ってみました。勝手に入力してくれます。Yubikeyはキーボードデバイスとして認識します。触ると勝手に入力する感じ。

そう、もはやYubikeyを持っている人しか絶対にログインできない仕様なのです。

課題もある

10人くらいなら管理者が適当にツール使ってセットアップすればいいのですが、これ数千人規模だったらどうすりゃいいんだ。APIもあるのですが、物理キーなので挿さないとセットアップできないし。。。んーこの辺は課題。

なので、セキュリティにうるさそうな部署や、やたらとパスワードを忘れる人を人柱にして、少しずつ導入していこうかなと検討中。

cloudpackの認証基盤はActive DirectoryとPing Federateなのですが

Ping Federateの多要素認証は基本的にPing IDといわれるものになりますが、Yubikeyも対応しているのですんなり導入出来ます。ポイントは、みなさんがお使いのサービスがYubikeyに対応しているかどうかにかかっています。GoogleなんかはYubikeyに対応しているので、Google AppsやGoogleなクラウドサービスはYubikeyを使ってセキュアなログインを実現可能です。事前に確認すると良いです。

もしYubikeyを紛失、故障したときも想定すると、ローカルでアカウント管理してる人は工夫が必要です。Active Directoryの場合は管理者がユーザーのパスワードリセットすれば済む話ですが、ローカルの場合はそうはいかないので、メインのアカウント以外に管理者アカウントを発行しておくとか。ADだとしてもこれはやっておいた方がオススメです。

cloudpackの場合は、多要素に限っては、YubikeyとPing IDの複数登録・併用が可能になる予定なので、この辺りの心配はあまりありません。

もしYubikeyが欲しいと思ったら

yubikey-003

v4以降の最新版がオススメです。NFC対応版もあるので、もはやUSBポートに挿さずして動作するものもあります。

Compare YubiKeys | Strong Two-Factor Authentication for Secure Logins | Yubico
https://www.yubico.com/products/yubikey-hardware/

LinuxのSSHログインなどにも使えるらしいのですが

まだそこまでシンジは使えていませんので、ご興味ある方は適当に購入して是非情報共有をwww

元記事はこちら

パスワードの定期変更は無駄だし、もはやパスワードなんて覚える気も無い