3月下旬、私のGmailアカウントに不安なメッセージが届いた。「警告: Googleは、政府支援の攻撃者があなたのパスワードを盗もうとしていることを検出した可能性があります。」
Google は、「政府が支援する攻撃者」がフィッシングやマルウェアを通じてアカウントをハッキングしようとしたことを検出すると、この警告を送信します。
前回これを見た時、私は多くのアカウントに二要素認証を追加しました。今回は、もっと良い方法はないだろうか?と自問しました。
マーティン・ウィリアムズ/IDGNS Google によって表示されるセキュリティ警告メッセージ。
できることがわかりました。
Googleは、より安全な代替手段としてセキュリティキーの使用を提案しています。これは、認証アプリの6桁のコードの代わりに、ワンタイムトークンを生成する小型のUSBデバイスです。
Googleは、自社が開発に協力したFIDO Universal 2nd Factor(U2F)と呼ばれるフォーマットをサポートしています。USB、Bluetooth、NFC経由で動作するキーが用意されているため、PCだけでなくスマートフォンやタブレットでも使用できます。
マーティン・ウィリアムズ/IDGNS Feitian (左) と Yubico のハードウェア セキュリティ キー。
本当に使いやすいです。
まず、キーを購入したら、サイトに登録する必要があります。その後ログインする際は、ユーザー名とパスワードを入力するとプロンプトが表示されます。キーの認証は、USBソケットに差し込み、小さな金色のディスクを押すだけです。
マーティン・ウィリアムズ/IDGNSセキュリティ キーで保護された Facebook アカウントにサインインするユーザーには、ダイアログ ボックスが表示されます。
ディスクがキーをトリガーすると、ログイン確認用の44文字のコードが送信されます。コードの最初の12文字は使用中のデバイスの公開鍵で、残りの32文字はログイン試行用の一意のパスコードです。
スマートフォンでは、NFC キーを電話の背面に置くだけでコードを送信できます。
たったこれだけです。スマートフォンと認証コードを使い分けるよりもずっと簡単です。
コミットする前に
U2Fは現在、Google ChromeとOperaの2つのブラウザでのみサポートされています。これら2つのブラウザはデスクトップブラウジングの約3分の2を占め、Windows、macOS、Linuxで利用できるため、市場のかなりの部分をカバーしています。ただし、Firefox、Safari、または他のブラウザを好む場合は、ブラウザを切り替える必要があります。
U2Fは現時点ではごく少数のサイトやサービスでしか機能しませんが、Google、Facebook、Salesforce、GitHub、DropBoxといった主要サービスが含まれています。GoogleとFacebookのアカウントを保護するだけでも、キーリングにセキュリティキーを追加する価値があるかもしれません。なぜなら、これらのサイトはサイバー攻撃や個人情報窃盗の主要な標的となっているからです。
しかし、iPhoneやiPadをお使いの場合は残念です。これらのデバイスではキーが正しく動作しません。Androidでは問題なく動作するはずです。
マーティン・ウィリアムズ/IDGNS Yubico の最小のキーは、財布に忍ばせたり、USB ソケットに差し込んだままにしたりできます。
持ち運びのしやすさも考慮しましょう。認証アプリを使えば、コードはスマートフォンがどこにあっても確認できるので、スマートフォンは普段持ち歩いています。一方、セキュリティキーの場合は持ち歩く必要があります。幸いなことに、セキュリティキーは小型で非常に頑丈なので、キーホルダーに簡単に取り付けられます。
自分の基準を知る
セキュリティ キーは、パスワード マネージャーへのアクセスを保護するためにも使用できます。
Dashlane パスワード マネージャーは FIDO U2F をサポートしていますが、LastPass を含む他のいくつかの競合製品は、類似しているものの互換性のない標準である OTP をサポートしています。そのため、すべてのキーが U2F コードと OTP コードの両方を生成するわけではないため、購入時には注意が必要です。
最も人気のあるキーの一部は Yubico 製で、そのほとんどは U2F と OTP の両方をサポートしていますが、同社のラインナップの中で最も安価なものは OTP と互換性がありません。
一歩前進、二歩後退
GoogleとFacebookはどちらも、アカウントを安全に保つためのより優れた方法としてセキュリティキーを推奨していますが、両社とも実装に潜在的な欠陥があります。SMSでセキュリティコードを受信するために再設定用の電話番号を設定した場合、その電話番号は無効にするまで有効なままです。
SMSは安全な送信チャネルではないため、これは問題です。プロトコルの脆弱性を突いたハッカーは、SMSベースの認証コードで保護された銀行口座への攻撃に既に成功しています。
そのため、携帯電話のバックアップを無効にする必要があります。GoogleとFacebookのセキュリティ設定ページで無効にすることができます。
その間、アカウント ログイン アラートを設定することをお勧めします。そうすれば、誰かが何らかの方法であなたのアカウントに侵入できた場合に、そのことを知ることができます。
GoogleとFacebookはセキュリティキーの使用についてコメントしなかった。
セキュリティキーはどこで使用できますか?
Yubicoのウェブサイトには、互換性を詳細に説明した便利なマトリックスが掲載されており、セキュリティキーをサポートしているサイトとその規格のリストもいくつか掲載されています。そのうちの1つはYubicoが管理していますが、私が見つけた最も詳細なリストは、同じくセキュリティキーを販売しているドイツのNitrokeyのものでした。
