Cloudflareのキャンペーンで沢山Yubikeyを手に入れた。
だって安かったし…などと供述しており pic.twitter.com/EHYQCH306V
— ゲン (@gen_sobunya) 2023年1月26日
元々Yubikey5C nanoを1個所持していたので複数セキュリティキー…つまり予備セキュリティキーが手に入った形。
セキュリティキーが1本しかない状態ではバックアップが難しく、TOTPなど他の多要素認証手段を組み合わせることが必須だったが、2本以上あることでセキュリティキーをファーストチョイスにできるようになった。NFCタイプを購入したので、モバイルデバイスにも利用できる。
この体制で、5C NFCは普段は金庫に入れておけばnanoの紛失に備えることができる。
多要素認証手段の再整理はazuさんのブログ記事を参考に、パスワードマネージャ―であるBitwardenに置き換えて考えている。
bitwardenも多要素認証をYubikeyだけに置き換えることができるので、ほぼ同じ戦略を取ることができる。
- TOTPのマルチデバイス対応をAuthyからBitwardenへ変更
- 重要アカウント(不正アクセス時の影響が大きいアカウント)は可能な限りYubikeyのみの認証に置き換える
- 非重要アカウントはBitwardenにTOTPを登録
上記の通りに設定していく。SMSでの確認も可能な限り削除していく
サービス対応状況
個人アイデンティティやに関わるものと、WEB公開できるサービスは重要扱い。 VercelとかGatsbyCloudは実質GitHubなのでリストにない。
重要アカウント | Yubikey対応 | Yubikey単体運用可 | |
---|---|---|---|
Bitwarden | Y | Y | Y |
Y | Y | Y | |
Y | Y | Y | |
Slack | Y | ||
GitHub | Y | Y | |
Y | Y | Y | |
Amazon.co.jp | |||
Binance | Y | Y | Y |
Y | |||
Bitbank | Y | ||
mstdn.jp | Y | ||
Discord | |||
Microsoft | Y | Y | |
Square | Y | ||
Paypal | Y | Y | |
Cloudflare | Y | Y | Y |
Tumblr | |||
AWS SSO | Y | Y | Y |
AWS root | Y | Y | Y |
備考
Windows Hello対応サイト
GoogleやBinance, Cloudflareなどが対象。FIDO指紋認証デバイスが刺さっているとそっちも認識するので注意。
BitwardenのTOTP
モバイルのSlackログインなどはシームレスにTOTPを入力してくれて再ログインが捗った
モバイルアプリが無いと多要素認証が設定できない or PCでテキストでTOTP追加できない
Instagramはモバイルアプリのみ多要素認証を新規設定可能。bitbankはQRでしか暗号鍵を出してくれない。
Microsoftアカウント
メールと電話番号を削除できない。SMSを選択可能にしてしまうのはちょっと痛い…
Paypal
セキュリティキーが1つしか設定できなかった。TOTPと併用
追記
Cloudflareは結構頻繁にログアウトされるので、TOTPを追加した。GitHubも意外と再ログインユースケースがあるのてTOTPが現状便利。 Bitwardenで自動入力後にTOTPをクリップボードに貼り付けてくれるので入力も意外と手間ではない。早く課金すべきだった