2015/11/07

LastPass の多要素認証用に YubiKey を購入しました

オンライン パスワード マネージャ「LastPass」の年間サブスクリプションを契約し始めて丸4年が経過しました。
万が一に備え、LastPassの2段階認証はAndroidアプリGoogle 認証システムLastPass Authenticator」を利用してきましたが、以前から気になっていたハードウェア「Yubico社のYubiKey」を購入
今回は、LastPassで使うYubiKeyとは何ぞや?をご紹介します。

LastPassの多要素認証

LastPassはパスワードの管理問題を解決するオンライン パスワード マネージャです。
Windows・Mac・Linuxだけでなく、多くのモバイル デバイスにも対応しています。
※モバイルで利用する場合は年間サブスクリプション($12)が必要です。

残念な事にLastPass今まで数回のハッキング被害にあっています。
ニュース サイトなどの情報によれば、ユーザーに直接被害がなかったようですが少し怖いですよね。

今までの事例からかは分かりませんが、LastPassでは複数の多要素認証に対応しています。
利用できる多要素認証は、無料ユーザーとプレミアム ユーザーによって異なります。
今回はプレミアム ユーザーが利用できるyubico社のYubiKeyのお話しです。

※多要素認証を知りたい方は、以下リンクを見てください。勉強になります!

YubiKeyは二要素認証用USBハードウェア

YubiKeyとは、二要素認証を行うための小型USBハードウェアです。
OSは一般的キーボード(Generic Keyboard)として認識するためドライバーは不要、中心のyボタンをタップするだけでワンタイム パスワードが出力されます。

LastPassにYubiKeyを登録する方法は下記リンクのとおり行いました。非常に簡単です。
YubiKey認証|ユーザーマニュアル - LastPass User Manual
YubiKeyの利用方法も簡単です。
  1. LastPass のログイン サイトにユーザー名とマスター パスワードを入力する(第1認証)
  2. YubiKeyをPCに挿し込む
  3. yボタンをタップ→ワンタイムパスワードを発行する(第2認証)
※画像は利用方法を分かりやすくするためのものです

YubiKeyはユーザーの手元に置かれているため、LastPassのユーザー名とマスター パスワードが第三者に盗まれた場合でも第2認証時にブロックしてくれます。

YubiKeyが物理的に盗まれた場合など万能とは言い切れませんが、多要素認証を利用する事で手軽にセキュリティ レベルを向上させる事が出来ます。
誰でも手軽に使える、これは素晴らしい事ですね。

    Windows サインイン用トークンとしても利用可能

    Windows PCにユーザー名とパスワードでサインインする際、YubiKeyをPCに挿し込まないとサインインできなくするトークンとしても利用できます。
    https://www.yubico.com/applications/computer-login/windows/windows-login/
    利用するためには「WINDOWS LOGON TOOL」というアプリケーションが必要です。
    以前は対応OSがWindows 7/8.xのみでしたが、現在ではWindows 10も公式サポートとなっています。

    設定はQiitaのページを参考に行いました。
    YubiKey Edge で 2段階認証 ~ Windows10編 - Qiita
    注意点
    「WINDOWS LOGON TOOL」をインストールする前にOSのバックアップを是非取りましょう。

    購入当初、「WINDOWS LOGON TOOL」はWindows 10に正式対応していませんでした。
    その時期にテストした所、何度かテストした後にサインインすると「The RCP server is unavailable」のエラー メッセージが表示され、サインインが一切できなくなる問題に何度も遭遇しました。
    PC2台で同一の問題が発生し、対処できなかった=クリーン インストールした経験があります。
    yubicoのフォーラムでも同問題の質問が上がっていました。
    Windows logon causing windows to crash - yubico forum
    Windows 10に正式対応してからテストしていないので現在はどうか分かっていませんが、事前バックアップは絶対必要だと思っています。

    手元にないと困る

    使い続けて分かった事は、(基本※)YubiKeyを常に携帯しなければならない事。
    当然な事ですが、YubiKey が手元にないと第二の認証が出来ない=LastPass が利用できません。

    LastPassの仕組み上YubiKeyなど「多要素認証をオンラインから解除する」事は可能ですが、再登録までの間セキュリティ レベルが低下する問題が付きまといます。

    常時携帯するには、YubiKeyのストラップ穴をスマートフォンや鍵にくくり付けるのが一番現実的かもしれません。

    ※利用するPCが信頼できる場合は、第2認証時の認証フォームにある「このコンピュータを信用して~」にチェックする事でフォームを表示させなくする事も可能です。

    2015.11.07 加筆
    知人とYubiKeyの会話をした際、注意したい事がいくつか挙げられました。
    1. 使い方の指導
    2. 紛失・盗難
    3. 破損
    どれも事案が発生する前に対処方法を確立、明確化しておかないと後々が怖いですね。
    特に、#2,3はクレジット カードと同じで発覚後に即登録内容を変更、又は削除しなければなりません。

    YubiKeyを購入する方法

    YubiKeyの購入先はいくつかあります。
    Yubico直営ストアではLastPassやSafe Pass,Symantec VIPをバンドルしているものも販売されています。
    私はLastPassの1年分のサブスクリプションがバンドルされたYubiKey Edgeを$43(本体$38+送料$5)で購入しました。
    なお、注文から受け取りまでは8日かかりました。



    今すぐにほしい&日本でサポートを受けたい方はAmazonから購入されてはどうでしょうか。
    日本代理店が各種ドングルを販売しています。

    YubiKey Edge
    Posted with Amakuri at 2015.10.25
    Yubico
    余談:MAGATAMAほしいです
    YubiKeyはFIDO U2Fプロトコル(Universal Second Factor:2要素認証)に準拠しています。
    もう一つのUAFプロトコル(Universal Authentication Framework)には対応していません。
    ※FIDOはファイドと呼ぶそうです。
    Windows 10時代の新認証 「Windows Hello/Microsoft Passport」と「FIDO」を理解する (4/5)
    今後発売されるDDS社の「Magatama」が欲しい今日この頃です。個人でも買えるのかなぁ
    最後に、FIDO AllianceのサイトにはU2F/UAFの認定を受けた製品一覧が掲載されています。
    https://fidoalliance.org/certification/fido-certified/
    スポンサーリンク

    スポンサーリンク