前回のメルマガで、Apple Accountを乗っ取られた事件についてお伝えしました。
【メルマガ】基幹アカウントの乗っ取り(2025年03月04日) >>>
あらためて自身のセキュリティを見直そうと思い、
前から気になっていた物理キー認証の「Yubikey」を導入してみました。
セキュリティ対策は「何をリスクと置くか」ですので、
最終的には各自、よい塩梅を見定める必要があります。
今回のメルマガは、そうしたセキュリティ対策の考察の一例です。
YubiKeyとは
特に目新しい製品ではなく、昔からあるツールです。
USBメモリみたいな形の「鍵」で、
認証時にYubiKeyを接続することで認証が通るようになります。
そのため、不正アクセスするためには
この物理キーを奪う必要があるのです。
ネット側のみでは突破することが相当困難ですので、
セキュリティが高いと言われています。
何の認証をするの?
このYubiKey、様々な認証方式に対応しているため、
逆にものすごく分かりづらくなっています。
どのように使うかは自分で決められます。
ここでは、私が選んだシンプルに使う形をお伝えします。
私が狙ったのは「二要素認証の代わり」です。
Google AuthenticatorやSMSで受信し、
ワンタイムパスワードを入れることがあると思いますが、
アレの代わりです。
色々な設定の仕方があるので
このあたりも注意が必要なのですが、
Googleアカウントにログインするケースを見てみましょう。
GoogleアカウントのID、PWを入力
-> YubiKeyを端末に接続
-> (二要素認証に何を使うかで)セキュリティーキーを使うを選択
-> 物理的なYubiKeyに設定した、固有のパスワードを入力
-> 認証OK
となります。
つまり、Googleアカウントの
・ID
・PW
・物理キー(YubiKey)
・物理キー固有のパスワード
の4つがないとログインできない形になります。
※二要素認証を求められるケースでYubiKeyが必要になるため、
ログインの都度、必要なわけではありません。
※こうした物理キー認証に対応しているサービスでないと、使用できません。
※ちなみに、Windowsのログインなどにも使えるのですが、
色々なケースを考えた時に
セキュリティ的にどうなのか、とまた難しい話になります。
YubiKeyを失ったらどうするの?
これが一番のリスクですね。
故障しても同じ話ですが、故障にはかなり強いそうです。
(耐水性、耐衝撃性が高い)
結論から言うと、失ったら詰みます。
YubiKeyを使う上での一番のリスクかと思います。
私もこの点をどう対処すべきか判断つかず、
いままで手を出してきていませんでした。
以下は、上記の二要素認証としての使い方を前提に書きます。
詰みますと書きましたが、
YubiKeyを落としただけでは、
不正ログインされるリスクはほぼありません。
YubiKeyを使うときにYubiKeyのパスワードが必要になりますし、
そもそも、このYubiKeyが
どのサービスに紐づけているのか分かりません。
そして、そもそもそのサービスのID、PWがないとログインできません。
つまり、YubiKeyだけ持っていても、ログインしようがないのです。
しかし、無くしたら自分が入れなくなるのでは・・・
が最大の懸念になります。
これは、複数のYubiKeyを使うことで、ある程度リスクを減らすことができます。
YubiKeyの登録は1つである必要はなく、
どちらかというと複数本の登録がオススメされています。
1つは持ち歩き、1つは家に、みたいな置き方ですね。
3つ以上使うこともできます。
この点をどう考えるかが
YubiKey導入の最大のポイントになりそうです。
(それなりにお値段もしますし・・・)
すべてを紛失した場合は、
そのサービスの違う口(アカウント復旧など)から対処するしかない状態になります。
なお、Apple Accountの場合、
YubiKeyを2つ以上登録しないと有効化できないようになっています。
紛失・故障なども考慮した設計になっているようです。
次回のメルマガでは、
この強力なYubiKeyを私がどのように使い始めたか、をご紹介します。
メルマガ『Professional's eye』
"意見が持てる"デジタルコラム
週1回配信、3分で楽しめます。
送信いただいた時点で「Privacy Policy」に同意したとみなします。
広告を含むご案内のメールをお送りする場合があります。
