前書き
この投稿はSilbird Advent Calendar 2017の6日目の記事です。
FREEDOMな感じで良いとのことだったのでとりあえずまずはYubiKeyのおはなし
物理的なセキュリティキーに憧れて、とりあえず買ってみたYubiKey4
買ってから1年ぐらいたった今、実際に使ってみてどんな使い方がいいのか、逆にこんな用途には使えないとかをYubiKeyの機能別につらつらとまとめる
購入を検討している方や、手軽にセキュリティーを高めたい方、あと物理キーに魅力を感じる方の一助となれば幸いです
Windows機しか使ってないのでUnixまわりは触れていないのでご了承ください
ステマじゃないよ!
便利
Yubikey単体で使えたり、現在常用してるもの等
FIDO U2F
既にいろんなところでまとまってるが、GoogleやGithubなどで二段階認証の方式の一つとして使用可能
https://qiita.com/yugui/items/382275bb04c3fad09ff7
一番ポピュラーな6桁のワンタイムコードを入れるタイプは一々スマホなりを取り出す手間が結構めんどくさかったが、YubiKeyを使うと刺してあるYubiKeyのゴールドディスク(金色の電極)に触れるだけで二段階認証が完了する
本人の操作を求められるのは安心だし、その操作はワンタップなのでかなりお手軽
ぶっちゃけこれだけのためにYubiKeyを買ってもいいレベル
U2Fしか使わないなと思ったらU2Fにのみ機能を絞った青色の廉価版があるのでそちらを購入するとよい
ちなみにもしYubiKeyがなくても、ほとんどのサイトで別の二段階認証の方式が使えるので安心
Windows Hello
Windows機のロック解除をWindows Helloデバイスとして振舞わせることにより可能
要サポートアプリインストール
https://www.microsoft.com/ja-jp/store/p/yubikey-for-windows-hello/9nblggh511m5
なおロック解除のみでログインには使用できない
刺してある状態だと特に何も操作することなくロック解除できるので便利
抜いておくと普段通りPINやパスワードでの認証を求められる
Static Password
ただ単に設定したキーフレーズを吐くだけの機能だが、普段使いのパスワードと組み合わせて強固にしたり色々使える
未検証
PIV and OpenPGP SmartCard
私の環境だと使用していないが、OS上で何もしなくてもスマートカード+カードリーダーとして認識されるのでAD環境とかなら便利そう
難アリ
基本的にYubikey単体で使えない or 別途実装が必要等
OATH-TOTP
よくある時間ベースのワンタイムコード…なのだが別途サポートアプリが必要なのと、基本的にU2Fでほとんど事が足りるため使用していない
必要な時は既存のGoogle Authenticator等を使用している
OATH-HOTP
こちらはYubiKey単体で動作するが、現在よく見かけるハードウエアトークンの代わりになるわけではない
上手に設定すれば使用できるのかもしれないがさらりと調べたところ特に見つからなかった
Yubico OTP
Yubikey単体で使えるうえ、YubiKey4には標準でこの設定がSlot1に書き込まれているが、YubiKeyの独自実装なので使えるサービスは基本的に皆無
Challenge-Response
YubiKey単体で使えるが、そのまま使用できる実装があまりないのがネック
まとめ
U2FとWindows認証ぐらいでしか使ってないのが悲しい
結局現在普及しててまともに使えるのがその2つぐらいなので、残りの機能を使おうと思ったら自分で実装が必要になったり中々めんどくさい
まだPIVで証明書格納してSSH時に使用する等はできるがそれでも基本的によくあるSSHクライアントでは対応してないので実用面では不安が残る
ただ、U2Fでスマホを出さなくていいのはなかなかにストレスフリーなのでここはお勧め
WindowsHelloでのロック解除機能が必要ないなら青キー(FIDO U2F Security Key)を買った方が良いと思う