Twitterの改悪が止まらない
Twitter社は2月18日、SMSを利用する2要素認証をTwitter Blueサブスクライバーに限定すると発表した。現在SMS認証を使用している場合は、3月19日までに使用を中止するよう案内されている状況。大手SNSがアカウント乗っ取り対策の選択肢を無くすというのは、なかなかふざけているように思う。なお、認証アプリ、セキュリティーキーを利用した2要素認証については引き続き誰でも利用できるとのこと。
多要素認証
情報処理推進機構(IPA)によると、認証の際、複数の要素(記憶情報、所持情報、生体情報のうち2つ以上)を用いた方式は「多要素認証」と呼ばれ、不正ログイン防止に効果があるとされている。
www.ipa.go.jp
多要素認証(MFA)の実装としては、Time-based One-time Password(TOTP)、電子証明書を用いたもの、Fast IDentity Online Universal 2nd Factor(FIDO U2F)等がある。One-time Passwordはスマートフォンがあればすぐに導入できるというメリットがあるが、いちいちスマートフォンを開いたり、パスコードを打ち込んだりとあまりスマートな方法とはいえないため、ハードウェア認証デバイスを導入することとした。
購入したもの
今回導入したのは、米国Yubico社が販売するYubiKey 5C NFC。国内正規代理店は株式会社ソフト技研である。
YubiKey 5シリーズ
エンタープライズレベルのセキュリティキーが、1回のタップで強力な二要素認証、多要素認証、パスワードレス認証を実現します。 最新の認証プロトコルから従来型のものまで対応する1つのデバイスが、数百のアプリケーション間のギャップをシームレスに埋めます。 デスクトップパソコンやノートパソコン、それぞれに適した形状が用意されています。アカウント乗っ取りを阻止
複数プロトコルに対応:FIDO2、U2F、ICカード (PIV)、OpenPGP、HOTP、TOTP、Yubico OTP
USB-A、USB-C、NFC、Apple Lightning
防水性、耐衝撃性ハードウェア
主要なすべてのID管理およびアクセス管理プラットフォームとの統合
当然ながらFIDO U2Fに対応しているので、様々なサイト・サービスでMFAを設定できる(この機能だけが目的なら、YubiKey SeriesではなくSecurity Key Seriesでよい)。
私はパスワード管理ツールにBitwardenを使用しているが、プレミアム会員ならYubiKeyでのMFAに対応している(Yubico OTP機能が必要なためSecurity Key Seriesは非対応)ため、YubiKeyがあるとより安全に利用できる。
またYubico Authenticatorなるアプリをスマートフォンにインストールすることで、YubiKeyにTOTPを保存して使用できる(デバイスに挿すか、NFCリーダーにかざすことで読み取り可能となる)。
まだまだ機能満載
PIV互換SmartCard機能については、まだ試せていない。YubiKeyを使用したPGP鍵の運用については、別記事で詳しく説明する。
まとめ
YubiKeyによる多要素認証の有用性について紹介した。
皆さんもぜひYubiKeyでセキュアでトラストフルな生活を。
