セキュリティに関することなので、利用はあくまでも自己責任でお願いします
SMSやキージェネレートアプリなど、多要素認証が用いられるようになっています。その中でも最近注目されているのがFIDO U2Fというもので、ハードウェアキーを用いて認証する技術です。ハードウェアキーとしては、YubiKeyがよく知られています。ハードウェアを用いることで、それがないと認証できない状態にできます。Googleでは従業員に配布してフィッシングを防いだ一方、自社でもハードウェアキーTitan Security Keyを開発しました。
Google社員のフィッシングを0にした物理キー。余りの効果に、Google「もう自社でつくる」、元祖のYubicoは苦笑い | ギズモード・ジャパン
個人的にも使っているのですが、USBポートを一つ独占してしまったり、常に持ち歩かないといけないのが面倒だったりします。後、そもそも買わないといけなかったり。
YubiKeyの楽なところとしては、キージェネレートアプリと違ってボタンを押したりするだけで認証が完了する点にあります。デスクトップでAuthyを使っていますが、それでも立ち上げたりコードをコピーしたりする手間があります。YubiKeyであれば、その手間は若干少ないです。
で、そもそもスマートフォンは常に持ち歩いているので、スマートフォンがFIDO U2Fに対応してくれれば楽なのにと思っていたんですよね。またはMacBook Proの指紋認証が対応するとか。そんな中、ついにKryptonがFIDO U2Fに対応してくれました!
Kryptonの嬉しいところ
Safariにも機能拡張を提供しています!デフォルトのSafariはFIDO U2Fに対応していないので、これは嬉しいです。ただしWebサービス側でSafariでは動かない、としているところもあります。
Kryptonの使い方
まずiOS/Androidアプリをダウンロードします。デスクトップ側では機能拡張をインストールします。次にデスクトップ側でQRコードを表示して、スマートフォンアプリ側で読み込みます。これでペアリングが完了です。
後はFacebookやGoogle、Dropboxなどの設定に従って進めていくとセキュリティキー(YubiKeyなど)の挿入を求められます。そうするとスマートフォンアプリが許可を求めてくるので、Yesをタップすると登録が完了する仕組みです。YubiKeyの代わりをKryptonが行ってくれます!
FIDO U2Fを提供しているサイト
今、多要素認証の一つとしてハードウェアキーの導入が進んでいます。なのでセキュリティに気を遣うサービスでは導入が増えています。Kryptonがデフォルトで並べているだけでも以下があります。
- GitHub
- GitLab
- Bitbucket
- Dropbox
- Stripe
- Sentry.io
とは言え、FIDO U2Fは汎用的な技術なので、デモサイトでもKryptonが使えます。自分たちのサービスにFIDO U2Fを導入してもKryptonは利用可能です。
KryptonはSSH認証でも使えたりするので便利なのですが、FIDO U2Fに対応してくれたことでYubiKeyは不要になるくらい便利です。スマートフォンを紛失した場合のリスクはありますが、指紋認証などを使うことでセキュアにできるでしょう。
なお、Krypton自体に何らかのセキュリティインシデントが起こったり、技術的に何か問題がある可能性も少なからず存在します。責任は取りかねるので、導入はあくまでも自己判断で行ってください。