セキュリティ知識薄めのエンジニアがyubikeyを買って、理想的な終活アイテムだと思った話。
投稿に至った経緯
フリーランスでエンジニアやってるnyarと申します。
Chat-GPTが出てから一気に、AIツールが世の中に出始めて、世間を驚かせていますね。個人的に嬉しい驚きに満ちている反面、悪いことに使われる可能性もあるなと怖さも感じてきています。
つまり、セキュリティ突破しやすくなるんじゃないかと思いました。🤔
TwitterTLみてみると、心なしか乗っ取られたっていう方をよく見るようになって、やはりセキュリティとかちゃんと考えないと危ない!!なと
色々調べて「セキュリティーキーという物理キーがセキュリティ最強かぁ」「持ち運ぶのとか大変そうだな。。。」「これなくなったらやばくね?・・・」「高い・・・」とか、思ってましたが、知合いがアカウント乗っ取られたという報告が・・・😱
yubicoの公式サイト(英語)
amazon、販売ページ。(株式会社ソフト技研【YubiKey正規代理店(Gold Certified Reseller)】が販売店かを確認してください)セキュリティ系のアイテムは、正規販売店で買わないと意味がないです。
乗っ取られたアカウントには、「NFT」など怪しいアカウントでよくある単語が羅列されていて、完全に目的をもって乗っ取ってきた感じでした。
ご本人は、2要素認証してなかったと言っていましたが、個人情報がもれてたということに変わりなさそうです。
情報が漏れるとしたら、(素人目線ですが)フィッシングはもちろん、連携アプリやTwitterなどのIDからメールアドレスを把握しやすい場合などが多いかもしれません。Twitterに誕生日表示をしてる人も結構いますし、表示してなくても過去のツイートから誕生日は把握しやすいのでパスワードが容易に想像できてしまう場合も少なくないと思っています。
そこで、多要素認証が必要になってきます。(とはいっても、まだID・パスワードだけってところが圧倒的に多いですよね)
また同じ多要素認証でも、SMS認証は危険性が訴えられていて、セキュリティに詳しい方から言わせるとSMS認証は設定しないほうがいいという見解です。
ただ、AIが急速に進んでいるので、認証アプリのワンタイムパスワードも本当に安全性が保たれるのか、正直疑問を持ち始めています。
そこで登場するのが、セキュリティーキーです。
セキュリティーキーをGoogleでも導入した結果、乗っ取りが0になったということで、Googleが気に入って、Titanというセキュリティキーがつくられたそうです。YubicoのYubikeyより安価ですが、性能はYubikeyのほうが上だと認識しています。
高い・・・と思いながら、買うか!と思い切って買った手前、使い倒してやろうと、自分でもYubikeyの使い方を調べた結果、英語サイトが多いし日本語公式もわかりにくい、、、セキュリティの知識がほぼないので数日PCにかじりついてYubikey弄り倒してました。
日本のサービスじゃほぼ対応してないですからね・・・。
という理由から、投稿してみようかと思った次第です。
今回は、使い方ではなく概要です。設定方法期待された方ごめんなさい。🙇♀️
長くなりそうなので次回にしようと思います。
Yubikeyってなに?
セキュリティーキーの一つ。
スウェーデンのyubico社が製造している製品です。
Your Ubiquitus Key
YubiKey は、USBポートに接続して利用するハードウェアトークンです。
ハードウェアトークンとは、主に「ワンタイムパスワード」を生成する端末のことを指します。ハードウェアトークンは物理的なデバイスを使ってワンタイムパスワードを発行し、デバイスはポケットサイズのものが一般的です。
簡単に言うと、アカウントという家に入るカギ🔑だとおもってください。
Q ということは、これさえあればIDとかパスワードとか入力せずにログインできるってこと?
A それは、違います。
これから先パスワードレスの時代が来るかもしれないと思ってますが、現状は多要素認証の一つに含まれます。
ID・パスワードに加えて、さらにセキュリティーキーで認証するという形です。
(セキュリティキーだけでしか認証しませんっていう設定にしてしまった場合、なくしたら完全にログインできなくなるので、サポートセンターはクレームの嵐になりそうですよね・・・)
Q 毎回ログインするたびに必要になるってこと?
A そうです。ですが、ツイッターなど、ほとんどのアプリは毎日ログインせずとも使えますよね。セキュリティ、支払い周りでは必要ですが、それ以外は頻度が多くないと思います。(認証アプリでの認証を有効にしているとそちらが優先になることが多いです。)
一番大変なのは機種変したときでしょうか・・・
ただ、ここが簡単であればあるほど乗っ取られやすくなるのは間違いないです。
Yubikeyの利用用途
Yubikeyの利用用途は様々ありますが、基本は鍵です。
多要素認証で利用、マスターパスワード記憶用。エンジニア職だと、SSHの秘密鍵を持っておけるってところでしょうか。あとは、Bitlockerのロックに使えます。
Yubikeyを色々いじくりまわして思ったこと。
それは、エンジニア職以外の方でもこれって便利じゃない?ってこと
次世代終活ツールであること
マイナンバーのパスワードなど、大事なパスワード忘れ防止に
秘密(個人情報など)を安全に持っておける。
次世代終活ツールって?
最近よく思うのが、「自分に何かあった場合」に銀行の暗証番号とかネットバンクだとパスワードとか含めて色々をどう教えるの?ということ。
パスワードだって数個ってわけではないはずです。さすがに紙とかで教えるのは無理・・・。普通に書き間違えそうですしね。。
そんな時役に立つのがパスワード管理アプリです。(個人的にはBitwardenを使っています。)
Bitwarden(オープンソース、クラウド、ほぼ無料。ネットワークにつながっていなくても利用可能)
keepass(オープンソース、ローカル保存、完全無料)最近よく聞くようになりました。
1password(スタンドアロン・クラウド両用。有料)
last pass(過去漏洩被害あり、無料版だと1デバイスのみ)
上記パスワード管理アプリに関して知ってる範囲で書いてます。気になるものはご自身で確認してみてください。
これらのパスワード管理アプリを家族で共有してたら問題ないとは思いますが、そういうことも少ないと思います。
また、パスワード管理アプリのマスターパスワードを何かあった時以外教えたいとはあまり思わないですよね。。。
そんな時、Yubikeyのstatic Passwordが役に立ちます。
基本的に1つ、(多要素認証でyubikey使わないって場合は、2つ)yubikeyにパスワードを登録できます。
基本的に、ボタンをポチっか長押し(3秒以上)すれば登録しているパスワードが入力されます。(キーボードと同じ原理で動くので、カーソルの場所に注意です!!)
※公式では頭数文字を頭で覚えて、残りをYubikeyに覚えさせておくという方法が推奨されています。
どこか、安全な場所とか金庫などにパスワード設定したYubikeyを入れておいて、なんかあった時に使ってもらうという方法もできそうだなと思ってます。
そのほかの活用法としては、普段使わないけど間違ったらめんどくさそうなマイナンバーのパスワードを入れとくと便利じゃないかと思ってます。
この手の話は、パスワードの管理方法論議が巻き起こりそうですが、下手に忘れるよりはいいかと思ってます。ただ、取り扱いには厳重注意です。
秘密にしたいファイルを安全に持つには?
多要素認証したりすると、回復キー(強制解除キーなど名前は色々)とかでてきますけど、どう管理すればいいんだって悩みませんか?
あとは、個人情報関係ですよね。
そんな時は、USBメモリをBitlockerで暗号化して読めなくさせてしまえば安全です。
BitLocker は、ドライブを暗号化し、ロックを解除する前に 1 つ以上の認証要素を必要とすることで、未承認のアクセスからデータを保護する Windows 暗号化テクノロジです。 Windows では、データへの不正アクセスの可能性が検出されると、BitLocker 回復キーが必要になります。
パスワードでもいいかもですが、だいたい覚えておけるパスワードって家族にバレてたりしますよね。。。
なので暗号化したUSBメモリをYubikeyに入れた認証キーで解除できるようにすれば、セキュリティが格段に上がったUSBメモリの出来上がりです。
あとは、何かあった時に家族に読んでもらいたい内容をテキストファイルなどにして入れられますね。
セキュリティキーの使い方が認知されれば簡単ですが、日本だと認知度ほぼ皆無なので使用方法の説明書が必要そうなのが大きなハードルというところでしょうか。。。
というわけで、今回はYubikeyの有用性についてお話してみました。
他にもいろいろな使い方はあるはずです!
実は、ちょっと前までCloud Flareという開発者向けのサイトで、10ドルという驚愕の価格で売っていたことを知って、愕然としてました。。
次そういうキャンペーンがあったら、できる限り買うつもりです!
使い方調べるのにかなり奮闘したので、次回は設定方法についての記事を書いていこうと思います。