きっかけ
パスワードマネージャーに期待する効果:手入力しない習慣を作り、不正なページに気づく
For websites outside of your control, encouraging your users to use password managers and allowing autocompletion of passwords in browsers can help. A password manager in a browser shouldn't provide a password for an incorrect site (although a user might still be persuaded to manually enter a password).
認証デバイスに期待する効果:パスワードが漏れても不正アクセスを防いでくれる
Cloudflare does not use TOTP codes. Instead, every employee at the company is issued a FIDO2-compliant security key from a vendor like YubiKey. Since the hard keys are tied to users and implement origin binding, even a sophisticated, real-time phishing operation like this cannot gather the information necessary to log in to any of our systems. While the attacker attempted to log in to our systems with the compromised username and password credentials, they could not get past the hard key requirement.
The mechanics of a sophisticated phishing scam and how we stopped it
候補になったかもしれないツール
- Titan Security Key
- Bitwarden, RoboForm, LastPass, Authy
1Password
- ログインに使ったのがGoogleだったかFacebookだったかを覚えてくれる機能
-
it integrates with Have I Been Pwned to monitor your logins for vulnerabilities so you can take immediate action.
- スマホアプリは低レビュー。レスは返している。
YubiKey購入
https://www.yubico.com/jp/store/#yubikey-5-series
予備キーも買うこと
YubiKeyケース
YubiKeyは端子がむき出しなので、そのうちケースを買うかもしれない。リンクをメモ。
https://www.yubico.com/jp/product/pivot2/
https://www.etsy.com
YubiKey購入後
脆弱性とバージョンの確認
バージョンの確認
OTP無効化
YubiKey 5 NFCの誤操作によりOTPが送信されてしまったというケースがSNSで散見された。
OTPを使う予定がないので、無効化しておく。
1PasswordにYubiKeyを登録
If you don’t see Add a Security Key, turn on two-factor authentication for your 1Password account.
有効にした後、ブラウザの表示を更新しないと「セキュリティキー」が表示されないっぽい。
ブラウザ拡張の動作確認
- Edgeにインストールしたところ、操作手順が日本語で表示された。
- 有効にすると、メールアドレスがオートコンプリートされなくなるのは想定していなかった。
その他、調べていたこと
- 認証デバイスが自分のスマホに対応しているのか。
- 人はなぜ「フィッシング対策のための2段階認証」「2段階認証を破る新手口!」と雑に言ってしまうのか
ワンタイムパスワードはフィッシング攻撃への対策と言うよりも、パスワードリスト攻撃対策と言うべきでは?
- U2F Technical Overview
- use yubikey 5 to login to windows 11
- What if I lose my YubiKey?
- yubikeyを買ったので色々セットアップのメモ
PINをたまたま当てられて利用されるケースはあるだろうから失くしたあとも呑気にyubikeyに入っていた鍵を使うのはやめた方が良いと思われる。