パスキー:::種類・FIDO|Google titan・yubikeyのどちら?|エラー|セキュリティ対策|opensk|S
パスキー、U2F、YubiKey、titan、FIDOの評判・使い勝手などを調べたいと思っていますが、大変なことが分かりました。(去年のニュースですけど・・情弱なのでご了承下さい)
バージョン5.7より前のYubiKeyは永久に危険との勧告
FIDO認証のセキュリティキーとして人気のYubiKeyに脆弱 (ぜいじゃく)性があることが判明した
楽天やAmazonを散々見ていた感じ、どうやら古い物は少し安いので
そのお安い「yubikey5、NFC」というタイプを買いそうになっていましたが、直前に分かって良かったです。
難しい文章で読んでもちっとも頭に残らないので、誰でも知っている様な内容を以下の本文中で繰り返している場合があります。
私と同じくあまり詳しくない人に・・、参考になりましたら幸いです。
MENU:::目次 |
1: 種類・FIDO(ファイド)について
「物理キー」なので、乗っ取りやなりすましを行うのが困難になる・・というので何度も検討しています。
- 1-1 どんなものか
- 1-2 メーカー|種類
- YubiKey(Yubico)
- titan(Google)
- cisco(このメーカーも有名みたいです)
- Nitrokey()
- 1-3 選び方:初心者向け
- 1-4 何個まで登録できるのか
- iosーーー1台のデバイスに最低2つ以上の登録が必須、6つまで。
- Googleーーー1つのアカウントに、4つまで。
Amazonでレビュー見ていると差し込むだけで簡単そうですけど、知恵袋で見ると物凄くややこしそうなんですよね。(笑)
・・ 悪意ある第三者がトークンと公開鍵を傍受したとしても、秘密鍵に応じたトークンを作成することはできない
FIDO2 セキュリティ キー を使って Microsoft Entra ID への認証(Azure や Microsoft 365 へのサインイン)が出来る
何となくですが、Windowsで設定した話題がとても多いのでMicrosoftでも使いやすいみたいですね。
ほか、Amazonも取り敢えず、設定画面の見本画像も多く「できる」そうです。
詳しくない自分から見て一番よく名前が挙がっているのがyubikeyなのですが、
他にも有名なメーカーなどは幾つかあり、
FIDO(Fast Identity Online)プロトコルに準拠しており、パスワードと組み合わせることで多要素認証(MFA)を強化
yubikeyには、上記に加えて種類が多く Lightning, NFC, 指紋認証(Bioシリーズ)もあります。
ユビキーの話題が多い気がしますが、iphoneだったらyubico社製ですね。lightning・NFCでiosが使えるそうです。
YubiKey 5C NFC(USB-CとNFC両対応)が、現在のPC・スマホ環境において最も汎用性が高く「鉄板モデル」です。
ちなみに、後で分かりましたが「U2F」というのも
この「FIDO」の中で数種類の規格があり、そのうちの1つということでした。
FIDOは「多要素認証(MFA)を強化し、不正アクセスを大幅に防ぎます。」
上記の様にYubiKeyに脆弱性があることが判明したり、製品のアップデート(買い替え)とか
そんなにポンポンできないので、慎重になって買えずにいます。。
自分が心配に思ったのは機能が多過ぎると逆に設定で間違ってしまわないかと。。
ほか、SSHとか使うのが面倒で嫌になってしまうので、設定が後回しになり宝の持ち腐れで終わりそうです。。
Google以外のサービスにも色々使えるみたいで、出来ないという話題も今のところは見当たりません。
標準で、防水性もあるそうで衝撃にも強そうですけど高い。
利用するサービス毎に使える本数が違います。分かったところだけ覚書します。
2: U2F|YubiKey
Windows、Mac OS、Linuxなどの各OS、主要ブラウザ(Edge、Chrome、Safari、Firefox)で動作し、
Google、Microsoft、AWS、Salesforceなど多くのサービスでご利用いただけます。
「yubikey」は「yubico」という会社ですが、検索して1番に出てくるのが似たような名前の別の会社で、
認定・公認・正規代理店などと書いてある場合があります。
青いYubiKey(Security Key by Yubico)は、黒いYubiKeyの機能のうち、FIDO2の機能だけが使用できるデバイスです。
(現在は全て黒に統一されています。)
ということで、「青いのは古い」とだけ分かりました。
以下は以前、U2Fを調べていた時の下書きです。
YubiKeys follow the FIDO U2F and FIDO2 authentication standards.
二段階認証を採用しており、ID/パスワードの1段階めの認証に加えて、セキュリティコードやセキュリティキーなどを使った認証
U2Fはオープンソースとあるが、Yubikey4~はクローズドだそうです。
cloudflareでは$10で販売していた事があるそうです。セールが時々あるのか不明ですが、またチェック出来たらします。
あとついでに大事なことなので繰り返しますが、
というニュースの裏付けという感じで、以下の事も注意です。バージョン5.7より前のYubiKeyは永久に危険との勧告 FIDO認証のセキュリティキーとして人気のYubiKeyに脆弱 (ぜいじゃく)性があることが判明した
ファームウェアのバージョンが5.4.3と古かった。(中略)YubiKeyのファームウェアは仕様上バージョンアップできないと説明されている。つまり新機能やセキュリティ強化を求める場合はYubiKeyを買い直さなければならない。このように、YubiKeyは陳腐化しやすい
アップデート出来ない、古いものも引き続き売っているのかと思いましたが混在しているみたいです。
もし古いのだったら・・と不安なので少し目印とかあれば良いのですけど。
(間違って古い方を販売したり購入してしまう人が絶対にいると思いますけど・・)
この件での返品・交換はできないそうです。
型式: 5060408461426.B と、随分調べましたがファームウェアバージョンは全く通販・ネット店でも書いてないです。
購入前はお問い合わせで確認しないと分かりませんが、脆弱性の発表されたのが2024年9月3日だそうで、
「メーカー発売日」が2024年9月3日以降であれば新しい可能性が高いでしょう。
このリスクは共通脆弱性評価システム(CVSS)に従って「中程度」と評価されており、YubiKeyの所持を維持し、紛失・盗難時に迅速に登録解除することで効果的にリスクを緩和できるため、積極的なキー交換プログラムは実施していません。YubiKeyについて懸念がある場合は、カスタマーサポートチームにご連絡いただければ、お客様のニーズにタイムリーに対応できるよう最善を尽くします。
予備も必要とのことで、1万円をホイホイ買える裕福な家庭が対象かも・・そういう人しか使うの無理ですけど。
古いものも以下の通り使うのが不可能とまではいかない様です。
インターネット経由のリモート攻撃(遠隔攻撃)では実行できないからです。攻撃の成立には、非常に高いハードルがあります。
(中略)【前提】攻撃者があなたのYubiKeyを「物理的に盗む」
国家機関や重要インフラを狙うような、極めて高度な攻撃者(標的型攻撃)を想定しています。
ファームウェアの更新プロセス自体が攻撃経路(バックドア)になることを防ぐための、非常に強固なセキュリティ設計
Amazonでは何度か探しましたが取り扱っていないみたいです。
3: Google titanで思ったこと
Google Storeでも買えますが、出来れば実店舗で購入したいと思い調べました。
どうやら、ビックカメラなどの巨大な家電量販店には置いてあるとのことですが・・。
わりと大きな駅の中心部の家電量販店で探し、PCのセキュリティやソフトのコーナー辺りで
店員さんに聞きましたが分からない(知らない)みたいで、説明しただけで終わってしまいました。
「google titan security key」で彼方此方探してみましたが、なかなか見つからず。Googleから直接の購入が一番良さそうです。
Amazonや楽天では何度か探しましたが、中古があったりしました。新品の通販は取り扱い店がないみたいです。
パスキーを作成するには、次のいずれかが必要です。
- Windows 10、macOS Ventura、ChromeOS 109 以降を搭載したノートパソコンまたはパソコン。
- iOS 16 または Android 9 以降を搭載したスマートフォン。
- FIDO2 プロトコル対応のハードウェア セキュリティ キー。
なんとなくですが、iphoneではNFCでかざせば使えるみたいですが、それが分かる前は
yubikeyの様に見た目でlightningの差し込み口のあるタイプがないので
「iosは使うことが出来ない」と思ってしまい、使えなかった話題を多く目にしたので躊躇していました。
ただ単にGoogleは利用者が多いので「数が多い」だけの話かもしれませんけど。。
パソコンが2012年製の古い物だったので TPM2に対応してませんでした。 2016年以降のパソコンなら殆ど対応しているそうです。
知恵袋を見ていると上手くいかない人が多そうですが、chromebookならスムーズなのかと思ったり。。
GIGAZINEというサイトではtitanを推している感じで記事が多かったので、
titanを検討している場合はそちらを読むと参考になりそうです。
2023年11月16日Googleの2段階認証用物理キー「Titan セキュリティ キー」に「パスキー」対応バージョンが登場
但し、開発者向けのページらしく難しいので自分は説明を読むことすら無理でした。
4: パスキーとは|生体認証|USBメモリで自作など
生体認証(顔認証・指紋認証)
パスキー(WindowsなどのPCを最初に起動するためのパスワード、Windows helloなど)
- 4-1 パスキーに対応しているサービス
- Google(YouTube、Gmailなど)ーーグーグルでログインできるサービスを使うときに良いですね。。
- Apple(iCloudなど)ーーアップルでログインできるサービス使うと良いのかも。。
- Linux・ubuntu
- AWS、Amazon
- PayPay
- Uber
- はてなブログ
- メルカリ(メルペイも?)
- 楽天(2026~対応?)
- DocuSign
- Salesforce
- Proton
- bitwarden
- 1password
- keepass
- 4-2 生体認証
- 4-3 キーを自作する|Opensk
- ドングルなどというノルウェー等の専用のキーなのかPCの中の基盤みたいなハードウェア等
- ソースはGitHubで入手できます。
- 工程がとても多いそうで(ざっと見るとインストール3回、全てコマンド入力)プログラミングの扱いに慣れている人が話題にしている・・
- 5年前の情報では基盤むき出しキーしかなかったのですが、2年前だと「makerdiary」という製品がケース付きもある。(防水性X、携帯用に適さない)
- 4-4 その他のブランド|Nitrokey他
指紋認証も複製出来るという話があると「そりゃそうだ」としか思えず・・
静脈認証も併用したら良いのではないかと。
あとパスキーで調べていて、「パフォーマンス、エラー」という言葉か出てくるのも気になったので調べたいです。
気になったのは耐久性で、Aiに聞くとU2Fキーなどは耐水性もあり強度が高そうですけど。
FIDO2キーを自作する話も見ました。
参考:
完全な初心者・素人には難しいみたいです。
参考:OpenSK
・・と、少しずつ使い易くなっていく様子なので、また思い出したら調べます。
Nitrokeyの中にFIDO・U2F・など含まれています。S/MIME・openPGPに強みがあるそうで、メールのセキュリティ対策に良いものかもです。
ここに下書きをして1年以上経っていましたが、漸く少し調べることができました。。
というか、今調べても情報が5年前とか古いものが多かったのと
「まだ利用できるサービスが少ない」というレビューがあるしで
あんまり変化がなさそうな気がしますけど。。
5: あとがき|参考・終わりに
物理キーについては、銀行のパスワード生成器(トークン、初回無料~再発行2000円程度)の様な感じだと思い、そのつもりで探していたら、その5~10倍の価格で驚きました。それ(銀行トークン)位のお値段にならないかと思って探しているのですが、いつまで経っても安くなりませんね。。。自作すると安くなりますが、防水・強度はなくなります。
そうこうしているうちに、楽天もパスキーが始まったみたいです。今のところ「物理キー」は証券のみですけど。楽天が使えればハードルは下がって一気に使う人が増えそうです。
そもそも、パスワードマネージャーが信用出来るかどうかが問題です(自分の中では)。
パスワードマネージャーを使って漏洩したというニュースは聞かない気がしますけど、確かめようがないので調べる方法が欲しいですね。yubikeyが本当に大丈夫なのかも心配で、使っていても安心出来そうにないので、有料でお金払っても怖くて使えない事になりそうです。
やっぱり、友達や家族みんなが使っているとか、知名度があると安心?
もっと一般化して家電量販店や近所のコンビニで売っていたら、そこまで気にせず普通に買えると思うのですけど。。
分からないし、、いかんせん、お値段が高過ぎる・・使っている人も未だ少ないのでは?
地元など近くのお店で買い物した方が地域の活性化に良いと思うのですが、
何度か同じ目に遭うとお店に行く事が億劫になります。
ここまで読んで頂きありがとうございました。
良かったら気が向いた時にでもまた覗いてやってくださいませ。
参考サイト:
https://en.wikipedia.org/wiki/Nitrokey
https://ja.wikipedia.org/wiki/YubiKey https://ja.wikipedia.org/wiki/%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC
FIDO
https://ja.wikipedia.org/wiki/FIDO_(%E8%AA%8D%E8%A8%BC%E6%8A%80%E8%A1%93)
Yubikey まとめ(利用可否検証あり)Qiita
https://qiita.com › Brutus › items › 38fb410d6fd38004d456 Universal 2nd Factor (U2F)でアカウントのセキュリティを強化する
Windows Hello for Business とは?
https://qiita.com/carol0226/items/441659a20bc256bbe639
GIGAZINE(ギガジン) https://gigazine.net › news › 20231116-titan-security-key-passkeys Googleの2段階認証用物理キー「Titan セキュリティ キー」に ...
Yubico https://www.yubico.com › yubikey › ?lang=ja YubiKey | Yubico
Note
https://note.com › nekoneko_555 › n › nef177034b84c
セキュリティ知識薄めのエンジニアがyubikeyを買って、理想的な ..
Reddit
https://www.reddit.com › r › yubikey › comments › 17xb3lo › googles_new_titan_key_vs_yubikey
Googles new titan Key Vs yubikey? : r/yubikey - Reddit
GIGAZINE(ギガジン) https://gigazine.net › news › 20231219-google-titan-security-pass-key 最大250種類のパスキーの保存が可能なGoogle Titan ...
価格.com
https://search.kakaku.com › Yubikey
「Yubikey」の人気商品一覧 | 安い商品を通販サイトから探す ...
ITreview
https://www.itreview.jp › products › yubikey › competitors › alternatives
YubiKeyを競合・類似製品と比較 |【ITreview】IT製品のレビュー ...
○○Googleパスキー設定について質問です。知恵袋/https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14317308499
Googleの2段階認証プロセスの質問です。/https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13304016203
Yubikey まとめ(利用可否検証あり) ーーーyubikeyについて一番詳しくて情報も新しい
https://qiita.com/carol0226/items/1e28bdc3acc4c7814da2
はてなブログhttps://infomation-sytem-security.hatenablog.com › entry › yubikey-vulnerability-ysa-2024-03-firmware-check YubiKey脆弱性(YSA-2024-03)を専門家が解説 - 城咲子 - はてなブログ
Apple Supporthttps://support.apple.com › ja-jp › 102637 Apple Account のセキュリティキーについて - Apple サポート (日本)
Google Helphttps://support.google.com › accounts › answer › 13548313 パスワードの代わりにパスキーでログインする - Google アカウント ...
コメント
コメントを投稿
読んで頂きありがとうございます。
お気軽にコメントして頂けると嬉しいです。
返事は90%くらいお返ししますが、めちゃくちゃ遅い場合があります。
気長にお待ちください。