さて、前回のメルマガでYubiKeyについて紹介しました。
【メルマガ】物理キー認証。より強固なセキュリティ(2025年03月11日) >>>
セキュリティが強固になる半面、
物理キーの管理に神経を使うことになります。
今回のメルマガは、私がどのように使い始めたかのご紹介です。
あくまで一例としてご参考ください。
何を守りたいか?
結局、「何を守るか」というお話になります。
セキュリティを高めれば、一般的には利便性は下がります。
つまり「絶対に失いたくないもの」だけでも守るか、という発想になります。
【メルマガ】基幹アカウントの乗っ取り(2025年03月04日) >>>
目先、私はまずは以下を守りにいくことにしました。
・不正アクセス、乗っ取りされると甚大な影響が出るサービス
Apple Account、Google Account、Microsoft Account
・主要なメールアドレス
※結局、Google Accountです
金銭的な被害はまあなんとかなるでしょうけど、
今まで蓄積してきたデータ(例えばヘルスケアデータなど)を失うのは痛いですし、
これらアカウントは別サービスとつながっていたりもします。
主要なメールアドレスというのは、
内容がどうこうではなく、
メールが乗っ取られると大きなセキュリティホールになるためです。
メールは、様々なサービスの「認証リセット」に使われるケースが多いです。
パスワードや二要素認証を忘れた、、、と言う時に、
メールアドレスだけ入力し、受信したメールを使ってリセットした、
という経験はあるのではないでしょうか。
つまり、メールが乗っ取られるというのは、
様々なサービスが乗っ取られるということに近いのです。
YubiKeyの使い方
基本的には各サービスに二要素認証(セキュリティキー)として登録していけばOKです。
しかし、注意点があります。
それは、他の入口を塞いでおくことです。
例えば、1PasswordにID、PW、ワンタイムパスワードを登録していたとします。
すると、1Passwordにアクセスされてしまうと、
認証できてしまうわけです。
パスキーも同様です。
※1Passwordは、データがクラウドにあるため、
セキュリティリスクがゼロとは言えません。
※とは言え、そこにリスクは低いと考えて使用していますが、
どちらかというと、物理的に端末を使っている時の「隙」の方が
可能性としてありえるかなと考えています。
また、SMSでの復元や、
今回の強化対象とはしないメールアドレスでの初期化など、
こうした手段は全て抹消します。
YubiKey全滅の時に備えて、
復元用の口も用意はしておくべきです。
ログインできる口を絞り、
ログインするためにはYubiKeyが必要な経路とする。
緊急時用のリセットも、信頼のおけるセキュリティ水準とする。
この辺りの組み方がポイントかと思います。
もちろん、YubiKeyは複数本利用が基本ですね。
ある程度運用してみないと、メリット・デメリットも見えてこないと思います。
YubiKeyを使う基本は「紛失・故障」リスクです。
このあたりがどうなのか、実際に使いながら感覚を得ていきたいと思います。
私の場合、実験も兼ねて、確認をしています。
一般的にはここまで実施する必要はないと思いますが、
二要素認証を設定する・しないでは
全くセキュリティレベルは異なります。
少なくとも、二要素認証の設定は必ず行いましょう。
アカウントが乗っ取られると、かなり悲惨です・・・
メルマガ『Professional's eye』
"意見が持てる"デジタルコラム
週1回配信、3分で楽しめます。
送信いただいた時点で「Privacy Policy」に同意したとみなします。
広告を含むご案内のメールをお送りする場合があります。
