YubiKey を導入しました

Mac

はじめに

最近導入しましたシリーズばかりですが、今回は YubiKey です。新コースの 2 年生全員が YubiKey を購入するので、新コースの教員に事前準備として配布されました(自分で買わないといけないかなと思っていたので助かりました)。実験の際に何を設定するかはわからないのですが、自分の使っているサービスを側から全部登録しておけば、後で使えるだろうという魂胆で、設定の記録を残しておきます。

ちなみに、YukiKey を失くすと大変なので、AirTag を付けました。購入したストラップが短かったので、既存のカードホルダーのストラップを付けましたが、ちょうどいい感じです。

YubiKey と AirTag

各サービスごとの設定

以下、サービスごとに設定画面を残しておきます。文字が見にくいので作業手順は箇条書きで記述します。

Google Workspace for Education

  • Google アカウントの設定に進み、セキュリティを選択します。

    Google アカウントのセキュリティ

  • 「Google へのログイン」にて「2段階認証プロセス」を選びます。

    Google へのログイン

  • 「2つ目の手順を追加してログインを確認する」のところにある「セキュリティ キーを追加」をクリックします。

    セキュリティ キー

  • セキュリティ キーの選択にて、「USB または Bluetooth」を選びます。

    セキュリティ キーの選択

  • 「セキュリティ キーはお持ちですか?」とあるので、「次へ」をクリックします。

    セキュリティキーの確認画面

  • セキュリティキーを挿入した上でタップをすることが要求されます。

    セキュリティキーのタップの依頼

  • セキュリティ キーへのアクセス許可がリクエストされるので、「許可」をクリックします。

    アクセス許可

  • 登録が完了したので、YubiKey の名前を付けます。通常、バックアップの YubiKey も登録することが多いので、区別するためです。

    セキュリティキーの名前登録

  • この結果、セキュリティキーがデフォルトのログインになりました。

    セキュリティキーがデフォルトに変更

Bitbucket

  • Bitbucket も既に2段階認証は設定済のところからスタートします。下の部分に「セキュリティキー」の欄があります。ただし、Safari だとこんな感じで対応している Chrome に変更するように言われます。

    2段階認証

  • 確かに Chrome にすると、「セキュリティキーを追加」がクリックできるようになっていました。

    セキュリティキーを追加

  • クリックしたところ以下のようなダイアログ表示が出てきました。2022年2月になると使えなくなるみたいです。それまでに bitbuket.org は対応してくれるでしょうかね。とりあえず許可をします。

    ダイアログ表示

  • 許可をクリックした上で、YubiKey をタップすると登録が成功します。

    登録成功

  • Chrome だと YubiKey でログインできることを確認しました。Safari の場合には、2段階認証のキーが必要でした。

GibHub

  • GitHub の場合も Bitbucket とほぼ同じです。Settings の中の「Account security」を選び、「Two-factor authentication」を有効にしておきます。この中の Security keys で「Add」をクリックします。

Account Security

  • Two-factor authentication のページに進むので、「Register new security key」をクリックします。

    Two-factor authentication

  • Touch ID とセキュリティキーの選択画面がでます。今回はセキュリティキーをまず設定しておきます。

    Touch ID とセキュリティキーの選択

  • さらに確認画面が出るので、キーをタップします。

    セキュリティキーのタップ待ち

  • GibHub の場合には MacBook などの touch ID が登録できるようです。せっかくなので、手元にある 2 台の MacBook も touch ID を登録してみました。

    登録された Security key

Dropbox

  • Dropbox も事前に2段階認証は設定済みです。これにセキュリティキーを追加します。セキュリティキーの「編集」をクリックします。

    セキュリティ

  • セキュリティキーダイアログにて「新しいキーを追加」をクリックします。

    セキュリティキーダイアログ

  • セキュリティキーを追加画面にて「設定を開始」をクリックします。パスワードの再入力画面になるので、パスワードを入力します。

    セキュリティキーを追加

  • パスワードが検証されると、キーを差し込むように指示されます。差し込んだら「キーが差し込まれました」をクリックします。

    セキュリティキーの差し込み要求

  • この後は GitHub と同じように touch ID とセキュリティキーの選択画面になりました。同じなので省略します。設定が終わるとキーの名前設定画面になります。

    セキュリティキーの名前設定画面

  • Dropbox の場合は、登録できる touch ID は一つだけでした。M1 MacBook Air の方を登録しようとすると既に登録されていますと言われてしまいます。やはり YubiKey は必要ですね。

追加されたセキュリティキー

Facebook

  • Facebook も既に2段階認証は設定済みです。ここにもセキュリティキーを追加してみます。アカウントの設定画面にて、二段階認証を使用の部分の編集をクリックします。

    アカウント設定

  • バックアップ方法を追加にある「セキュリティキー」の設定をクリックします。

    バックアップ方法を追加

  • セキュリティキーを挿入するように言われるので、挿入したうえで「セキュリティキーを登録」をクリックします。

    セキュリティキーの挿入

  • キーのタッチが終了すると名前の設定画面になります。

    名前の設定

  • セキュリティキーの登録が完了しました。Facebook は乗っ取りが非常に多いので、2段階認証は必須だと思います。Facebook の2段階認証は別にログインしている端末が必要だったりして意外と面倒だったので、YubiKey の方が簡単だと思います。

    登録完了

Twitter

  • Twitter も同じような感じです。設定のセキュリティとアカウントアクセスから辿ったところに2要素認証の部分にセキュリティキーのチェックボックスがあります。これまでとほとんど同じなので、抜粋して紹介します。

    2要素認証

  • パスワード認証が再度かかるので入力すると、セキュリティキーの設定画面が出るので「始める」をクリックします。

    セキュリティキー

  • ここ以降の処理は他のサイトと同じです。Twitter の場合には、バックアップコードも表示されます。このコードは 2要素認証を設定した時と同じものでした。

    設定完了

Microsoft 365

法人からの許可が出て、法人の Microsoft 365 でもセキュリティキーが使えるようになりました。設定手順をまとめておきます。

  • マイアカウントを表示して、セキュリティ情報をクリックします。

    セキュリティ情報

  • すでに 電話番号と Microsoft Authenticator が 3 つ設定されていますが、ここで「+ 方法の追加」をクリックします。

    セキュリティ情報からの追加

  • 「方法を選択します」から「セキュリティキー」を選択し、「追加」をクリックします。

    セキュリティキーを追加

  • 2段階認証を求められるので、指示通りに認証します。

    2段階認証の要求

  • キーの種類が聞かれるので、USB デバイスを選択します。

    キーの種類を選択

  • キーを準備するように言われるので、他のサービスと同様に挿入した上でセキュリティキーをタップします。

    キーの準備

  • 以下のようにセキュリティキーを準備するようなダイアログが表示されるので、セキュリティキーを準備します。

    セキュリティキーの準備依頼

  • Microsoft 365 の場合には、2段階認証の代わりではなく、ログインの代替になります。そのため、ログインにはパスワードの代わりに PIN が必要となります。

    PIN の設定

  • 再度、セキュリティキーをタップするように求められるので、タップします。

    2回目のタップ

  • セキュリティキーの許可申請があるので、許可をクリックします。

    許可

  • 最後にセキュリティキーの名前をつけます。

    名前の設定

  • 以上でキーの設定は完了です。

    完了

  • Microsoft 365 ではログインのやり方も変わります。通常はパスワード入力画面になってしまいますが、別のアカウントでログインするを選択し、サインインのトップ画面まで戻ります。そこで、一番下にある「サインイン オプション」をクリックします。

    サインイン画面に戻る

  • Chrome のように FIDO2 に対応したブラウザであれば、以下のようなダイアログがでてきます(Safari では出ませんでした)。一番上のセキュリティキーでサインインを選択します。

    サインインオプション

  • 何で本人確認をするかを聞かれるので、USB セキュリティキーを選択します。

    セキュリティキーを選択

  • セキュリティキーの挿入を促されるので、キーを挿入してタップします。

    セキュリティキーをタップ

  • タップすると先ほど設定した PIN の入力が促されるので入力します。

    PIN の入力

  • PIN の入力が終わると再度キーをタップするように促されるので、再度タップを実施します。

    2回目のタップ

  • これでアカウント名やパスワードなしにログインが可能となりました。ただ、これだとセキュリティキーを盗まれ、PIN がわかってしまうと第三者にログインされてしまいます。認証は楽になってもセキュリティレベルは下がってしまうことになります。設定ができることは確認しましたが、Microsoft 365 からはセキュリティキーを削除することにしました。

MacBook 以外での利用

最初に MacBook でしかテストしていませんでしたが、その後 iPhone と iPad でのテストを実施しました。iPhone についてですが、YubiKey 5C NFC は名前の通り、NFC が入っているためこちらが使えます。パスワード認証後に iPhone を近づけると YubiKey でログインできました。また、現在利用中の iPad Pro 12.9 と iPad mini6 はどちらも USB-C が使えるので、こちらも YubiKey がそのまま使えました。現状では Type-C タイプが 1 つあれば、現状では困らなそうです。

おわりに

2段階認証を設定しているものについては、だいたい YubiKey も使えるところが多いようです。Microsoft 365 については、法人側で許可設定をしてもらうようにお願いしているところです。他にも設定できたサービスがあったら、この記事に追記していきます。