Tech系サービスやガジェットの使い心地、自分の作業環境、資産運用について気が向いたときに記録を残しています。

記事内のAmazonアソシエイト適格販売及び、Google Adsenseでお小遣いを得ています。

Yubikeyが2本になったので、各アカウントのMFAを見直した

Cloudflareのキャンペーンで沢山Yubikeyを手に入れた。

元々Yubikey5C nanoを1個所持していたので複数セキュリティキー…つまり予備セキュリティキーが手に入った形。

セキュリティキーが1本しかない状態ではバックアップが難しく、TOTPなど他の多要素認証手段を組み合わせることが必須だったが、2本以上あることでセキュリティキーをファーストチョイスにできるようになった。NFCタイプを購入したので、モバイルデバイスにも利用できる。

  • Yubikey 5C nano ... 普段からメインPCに装着
  • Yubikey 5C NFC ... 予備兼モバイルデバイス

この体制で、5C NFCは普段は金庫に入れておけばnanoの紛失に備えることができる。

多要素認証手段の再整理はazuさんのブログ記事を参考に、パスワードマネージャ―であるBitwardenに置き換えて考えている。

efcl.info

bitwardenも多要素認証をYubikeyだけに置き換えることができるので、ほぼ同じ戦略を取ることができる。

  • TOTPのマルチデバイス対応をAuthyからBitwardenへ変更
  • 重要アカウント(不正アクセス時の影響が大きいアカウント)は可能な限りYubikeyのみの認証に置き換える
  • 非重要アカウントはBitwardenにTOTPを登録

上記の通りに設定していく。SMSでの確認も可能な限り削除していく

サービス対応状況

個人アイデンティティやに関わるものと、WEB公開できるサービスは重要扱い。 VercelとかGatsbyCloudは実質GitHubなのでリストにない。

重要アカウント Yubikey対応 Yubikey単体運用可
Bitwarden Y Y Y
Twitter Y Y Y
Facebook Y Y Y
Slack Y
GitHub Y Y
Google Y Y Y
Amazon.co.jp
Binance Y Y Y
LinkedIn Y
Bitbank Y
mstdn.jp Y
Discord
Microsoft Y Y
Square Y
Paypal Y Y
Cloudflare Y Y Y
Tumblr
AWS SSO Y Y Y
AWS root Y Y Y

備考

Windows Hello対応サイト

GoogleやBinance, Cloudflareなどが対象。FIDO指紋認証バイスが刺さっているとそっちも認識するので注意。

BitwardenのTOTP

モバイルのSlackログインなどはシームレスにTOTPを入力してくれて再ログインが捗った

モバイルアプリが無いと多要素認証が設定できない or PCでテキストでTOTP追加できない

Instagramはモバイルアプリのみ多要素認証を新規設定可能。bitbankはQRでしか暗号鍵を出してくれない。

Microsoftアカウント

メールと電話番号を削除できない。SMSを選択可能にしてしまうのはちょっと痛い…

Paypal

セキュリティキーが1つしか設定できなかった。TOTPと併用

追記

Cloudflareは結構頻繁にログアウトされるので、TOTPを追加した。GitHubも意外と再ログインユースケースがあるのてTOTPが現状便利。 Bitwardenで自動入力後にTOTPをクリップボードに貼り付けてくれるので入力も意外と手間ではない。早く課金すべきだった