Web時代に必須のセキュリティを物理デバイスで行えるYubikeyを購入しました。
物理デバイスってカッコいいですよね、加えてセキュリティ・耐久性にも優れており実務に使いたいと導入決定。 サービスも有名どころは対応してるところが多く、Github、Windows、AWS、Google、ヌーラボなどのサービスもWebAuthnを使ったログインに対応しています。セキュリティアップデートを行えばサーバーログインもワンタップでできるようになるようです、パスワードレスを目指してYubikeyの認証について覚えていきます。

耐久性

耐衝撃

• 最大曲げ応力(max bending force)は、25Nです。(25N＝2.5kgf)
• IP68に認定されています。(IPは、防水・防塵性能を示します)
• 粉塵の侵入を完全に防ぎ、かつ長時間水没しても影響がありません。
• YubiKeyはABS樹脂でできています。
• YubiKey4は過電流対策を行っており、現在のところ、問題は報告されていません。
• 洗濯機で熱・水・洗剤を加えて洗濯しても問題ありません。
• 水深48mの塩水に２か月沈めても問題なく利用できます。
• 車でYubiKeyを引きずっても問題ありません。

耐抜き差し回数

• 10,000回までの自動差し込みテストを行い、機能や安全面での影響がないことを確認しています。
• また摩耗による重大な影響も発生していません。
• 10,000回を超える電源ON/OFFのストレステストに合格しています。

導入実績

Google社でもモバイルのOTPをYubiKeyに変更することでITコストを削減の削減を実現しています(参考資料)

• アカウントの乗っ取り0件
• ログイン時間が4倍短縮
• IT関連のサポート電話が92%削減

管理ツール

管理ツールも様々なツールが提供されています。

ツール	概要
Yubico Authenticator	Google Authenticatorで実装してるOATH-TOTPと互換性がある認証
YubiKey Manager	FIDO2、OTP、PIVの機能設定を管理、タッチ機能の挙動を変更可能
YubiKey personalization tools	YubiKey Managerの設定に加え、認証設定を独自にカスタマイズ可能
YubiKey Manager CLI	Yubikeyのコマンドラインツール

Slot

SlotはYubikeyに触れたときに呼び出す認証の設定 Slot1とSlot2があり、それぞれタップ（〜0.5s）と長押し(0.5〜8s)の挙動として登録できます。

登録できる機能は「Yubico OTP」「Challenge-Response」「Static password」「OATH-HOTP」

Yubico OTP

Yubico OTPはYubicoが定めるOTP(One-Time Password)です。YubiCloud認証サービスと連携しており128ビットAES暗号化ワンタイムパスワードを生成します。シークレット情報の保持やパスワード生成の機能は、ICチップに物理的に書き込まれ外部からの解析は不可能
OTPの認証はYubiCloudや自己ホスト型の認証サーバー用いることで安易に組み込むことができます、YubiCloudのセキュリティーが不安な場合はDockerイメージも提供されているので自己ホスト型のサーバーも独自で建てれるようになっています。

Challenge-Response

チャレンジ レスポンスはワンタイムパスワードやPPPの認証プロトコルであるCHAPやWifiアクセスポイントで使用される認証方法です。 IDをサーバーに送信しサーバーはランダムに生成したチャレンジという情報とこれから生成するであろうレスポンスを生成をします。クライアントはチャレンジと自分のパスワードをハッシュ値計算し一致してるか判定し認証します。

Static password

静的パスワードは一番シンプルな固定のパスワードです。好きな文字列を設定でき呼び出しができます。

OATH-HOTP

OATH-HOTPはワンタイムキーを生成する手法のひとつです。ユーザーが決めたシークレットと時間やカウンタを使い毎回新しいワンタイムキーを生成します。

まとめ

Yubikeyを初めて購入し調べていくうちに新しい認証方式を色々と知ることができました。 静的なID/PWは流出するだろうなというバックアッププランで興味を持っていましたが、意外と普通の認証よりも簡単に使うことができ今後は自社サービスや管理画面などの認証に組み込んでいきたいですね。

この記事を読んでる人にオススメ