💻yubikey 関連のメモ
| my new gear… |
|---|
 |
2024-05-06T00:19:19Z yubikey を買おうとしている
Amazon だと現行5シリーズと旧版(無印、もしくは4シリーズ)で値段が3千円も違う。TOTP対応のが高いほう。
あと、紛失前提で2つ買う、iOSでも2つないとダメとかいう話で、いきなり2万円。こわい。
パスワードを管理したくないのと、TOTPをもう少しどうにかしたいので、高い方を2つ買うんだけども、なんか先行きが見えなくて踏み切れない。
先行きってのはつまり、認証の必要な局面で出来るだけ便利に使いたいのだけど、たとえばネットバンクなんかが対応してくれなかったり、SMS認証で我慢しとけ的なのとか、要はメジャーになりきれないところがどうしてもあるってこと。
まあ、もうそんなこと言ってられない(記憶力やら管理コストやらの都合)んだけどな。
2024-05-06T00:33:38Z yubikey 予備知識編
YubiKey の種類【YubiKeyとは-part1】 Yubikey参考文献。3こ記事があって現状把握しやすい。なにが出来るのか、なにを準備(買う)すればいいのかはわかる。
SCSK Yubicoチームコラム – 多要素認証「YubiKey」| SCSK株式会社 こちらも。iOSで使えるよとか、補遺系情報もあり。
Amazon.co.jp - (株)ソフト技研 Yubikeyの国内正規代理店。
Buy YubiKeys at Yubico.com | Shop hardware authentication security keys メーカー。キーに貼り付けるラベルも売ってたりする。今からこっちで買ってみる。
2024-05-06T00:43:24Z 発注発注
お急ぎ便にしてみた。届いたらまた続きを書く。
2024-05-09T06:05:55Z はえーよ
2024/5/6発注、2024/5/9到着(お急ぎ便)
消費税800円でビビる(8%で1万ってことじゃん?)
ここからはどう使うかを書いていく。
2024-05-10T03:22:40Z yubikey をつかって何する?
まずお試し感覚で Windows ログインに絡められるか?ってところを調べた。
-
多要素認証として使うためのものなので、 ID とパスワード、 Yubikey の PIN ということで3要素で認証する。つまり Yubikey 突っ込んだらログインできるわけじゃない。むしろPIN入力の分、手間は増える。生体認証版 Yubikey だと事情が違うかもしらんが調べてない。
-
ローカルマシン内の各アカウントと、 Microsoft アカウントは全て別もの扱いなので、ローカル常用アカウントを Yubikey 運用しても別のアカウントでログイン可能(なので、全部 Yubikey をバインドする必要がある)。
つまりローカル上のアカウントが1つしかないと Yubikey 設定中にログインできなくなる(笑)。 Windows Hello なりを追加で準備しておけば=別アカウントでログインできるようにしておけばいい。
- Windows はセーフモードでログインできちゃうので UEFI なり BIOS や、 Bitlocker で起動時パスワードを ON にする。
というところで、個人が PC を便利にするという観点よりも、手間をかけてもセキュリティ向上する方向のものなので、私の用途や目的( OTP 認証の HW 化、パスワード管理)とは違う方向なのでこれは導入しないことにする。
OTP-TOTP 認証の HW 化は調査中。スマホアプリを起動してから Yubikey の NFC でかざしたら認証コードが出るんならいいけど、なんか出来ない予感だけ先にあるなw。
参考文献
YubikeyをWindows10のログイン認証で使う(ローカルアカウントのみ)
【SSS】YubiKeyを使ったWindows起動時サインイン2段階認証
2024-05-10T05:48:24Z 参考資料
参考文献:
Yubico OTPの設定 | YubiKey サポート | ペンティオ(株)
Vaultwardenで家族全員のパスワードセキュリティレベルを激アゲした話
2024-05-13T08:30:13Z 少し触ってみた
-
yubikey 2FA は FIDO2 で使うようにした。ロックアウト予防に e-mail での 2FA も有効化しておいて、リカバリコードの発行も実施。検証していけることも確認したし、 vw 側の基本的な使い方としては網羅した。
-
どこかで Yubico Authenticator への移行もしなきゃいけない。いまはスマホの authy を使っているが、これもいつ終わるかわからんしな。で、 bitwarden authenticator と組み合わせて使うか?というと使わない。 Yubikey と合わせるなら Yubico Authenticator 一択。https://www.yubico.com/products/yubico-authenticator/#h-download-yubico-authenticator
2024-05-28T22:51:34Z NFC リーダーを買う
ということで amazon で IODATA ICカードリーダーライター USB-NFC4 を注文中。
IODATA の、と書いてあるけれど、これはエストニアの e-Residency だかでも実績のあるデバイス(AB Circle CIR315A)を OEM したもの。エレコムの MR-ICA001 でも同じドライバを使うようだ。何がいいって iOS 以外の SDK やドライバがしっかり揃ってるってこと。当然 linux/macOS でも使え https://zenn.dev/sorehaomosiroi/articles/sorehaomosiroi-2024010800_linux_nfc_iodata-usbnfc4 自動車免許に始まりマイナやら HPKI やら車検証やらフォローされてる。
これを使って運用できると思い込んでいるが、出来るかどうか検証する記事をまたあとで書くことになるだろうなw。
2024-05-30T02:31:05Z NFC リーダーでログイン
NFC リーダーが到着したのでドライバ入れてから USB にリーダー差して、 NFC 経由で Yubikey が読めることを確認した。イージー。
2024-05-28T22:51:09Z 毎日なにかの仕様が変わっている気がする
FireFox 拡張機能の bw でパスキー設定していたのが Windows に制御を奪われてしまうようになり、使い物にならなくなってしまった(なお Chrome の拡張機能だと問題なく動くことは確認した)。一時不具合にせよ FireFox では vw/bw によるパスキーのクラウド化は一旦使えなくなった。
あとでわかることだが、 PC の USB に差したまま NFC を iPhone と使うことは出来ないみたいだったし、いい機会だし NFC 運用に切り替えることとして、まずは iPhone に Yubikey を登録する。https://support.apple.com/ja-jp/102637
ここで、2つの Yubikey のうち PC で既に使い始めていた1つを先に iPhone に登録してしまったせいなのか、新しく使い始めた2つめだとセキュリティキーとしか動かないようになっていた。 Yubikey にパスコード設定したらいいのかな?あとで困ったら調べるw。
本来 PC の USB につなげたまま、持ち出し用はもう1つを使って、必要に応じて NFC 運用するつもりだったのが、こうなると差しっぱなしにするつもりの Yubikey を持ち歩きすることになるから、取り回しを考えなきゃ。
Chrome for iOS でパスワードマネージャーをオフにして、iPhone のパスワード管理にて bitwarden だけ使うようにする。ここで出てくる確認コードってのは TOTP アプリで使う6桁数値の話。今はスルーしておく。
とりあえず google アカウントの1つを検証するために色々やってみる。 vw をパスキー化したのを削除してから、 PC の USB に Yubikey を差して Yubikey をパスキーにつかう設定は成功。 iPhone の Chrome から同じ Yubikey でパスキーを Google に登録してスマホの NFC でログインするのも成功。
2024-06-23T13:20:09Z NFC と LINUX とわたくしたち
YubiKey を Linux の「鍵」にする | κeen の Happy Hacκing Blog
https://keens.github.io/blog/2021/03/28/yubikeywolinuxno_kagi_nisuru/