初投稿です。
YubiKey 5 NFC を購入して1ヶ月近く使った気がするので、「 まだ買ってないけど興味がある 」人に何ができて何ができないのか、超個人的な目線のまとめになります。
Yubikey 5 シリーズを購入する際に参考になれば幸いです。
期待通りに動作したもの
- FIDO U2F
- イメージ通りの「2要素認証のときに使用するセキュリティキー」
- これだけを期待するなら Security Key by Yubico で充分
- 固定文字列パスワードの保存、タップでの入力
- Yubico Manager を使用することで設定できます
- 1Password のパスワード入力の補助(パスワード丸々ではなく、一部文字列をキーボード入力)で使用してます、TouchID のないパソコンでは超便利
使ってみると良いもの
- PGP
- 例えば暗号化済みのファイルを復号したい場合、復号するマシンに対となる公開鍵を取り込んでおくことで、YubiKey に保存されている秘密鍵を使用してくれます
- 秘密鍵を
keytocardした後にsaveせずquitすると、YubiKey に秘密鍵をコピーしただけの状態になるので便利(逆にsaveすると、秘密鍵使用時に Yubikey の挿入が常時求められます) - 参考になるガイド: https://github.com/drduh/YubiKey-Guide
- TOTP (よくある6桁のワンタイムパスワード)
- Yubico Authenticator (Windows/macOS/Linux/android) を導入すると YubiKey に TOTP を保存できます
- TOTP のバックアップ用途にちょうど良いかなと思ってます
想像と違うもの
- NFC (iOS)
- ウェブブラウザを含め、 「iPhone に YubiKey 5 をかざす」ことを想定したアプリがありません (もし見かけたらコメント欄へ)
- FIDO U2F のセキュリティキーとして 1 個しか登録できないサイトがある
- aws, Twitter お前らのことやぞ
動作しないもの
-
YubiKey for Windows Hello
- YubiKey を使って Windows 10 のログインを試みるもの
- 現状 YubiKey 4 シリーズでしか動作しないっぽいです、残念
最後に
TOTPの複製やPGP鍵の取り扱い方など、記事の一部に「セキュリティ的に悪化してない?」と思う記述があったと思いますが、程よくセキュリティを担保しつつも利便性が向上する方法を選択していますのでご容赦ください。
2018年11月24日現在において、リセラーのソフト技研さんにも5シリーズはまだ卸してないらしく、5シリーズを購入したい場合は Yubico の公式ストア (www.yubico.com) 以外の選択肢がないようです。
ちなみに USB Type-C だけの MacBook 使ってるので、使い道のない NFC の機能よりも、常時さしっぱなし運用できる YubiKey 5C Nano を買えばよかったなーと思ってます。
2019/11/13 追記
いつの間にかソフト技研さんで Yubikey 5 シリーズ取り扱ってました。日本でも手に入りやすくなったのは良いですね。
さて今回の追記は iOS13.2 (Public Beta 2) からセキュリティキーがサポートされた件について。
Yubikey 5Ci なる USB-C + Lightning というデバイスも出てきましたが、私は当セキュリティキーは持ってません。しかし Yubikey 5 NFC の NFC がまともに使える日がやってきました 。なんと iPhone 7 以降の NFC 付きのデバイスであれば、セキュリティキーを U2F として使用可能です。
しかし Microsoft のログインで利用可能な FIDO2 による パスワードレスログイン (セキュリティキー + PIN)や、各種サービスにおける セキュリティキーの追加 において NFC では 失敗してしまいました。
もしかすると 5Ci や、 Lightning→USB に変換するものを使用して物理的に接続すれば動作する可能性がありますし、動作確認したのは Public Beta なので正式リリースまでにこれらが改善するかもしれません。
もし動作する/した際には、きっと優しい方がコメント欄に「できました」報告してくれるでしょう。