Yubikeyを買った

以前Googleの2段階認証の設定で登録ができることが気になっていたセキュリティキー、Dropboxも使えるようになっていたり、ネットでぽつぽつと利用例も見かけたりしていたので、エイヤッとYubicoというメーカーのFIDO対応セキュリティキーを買ってみた。amazonでも買えるけど若干割高なのでYubicoのネット通販で直接購入した。

モノとしては簡素なUSB機器で、差し込んで(y)マークをタッチすることで機能を利用できる。さっそくyubikeyをMacに差し込んでみるとキーボードとして認識される。どうもドライバの都合でキーボードとして認識されるようだ。実際にテキストエディタなどで(y)をタッチするとワンタイムっぽい文字列が入力される。

とりあえずGoogleの2FAのセキュリティキーとして登録して一通り試してみた。ブラウザは今のところChromeしか対応していないみたいだし、日常的に利用するマシンではセッションを維持しているため、そもそも利用機会が無い。あと、今までどおり通常のワンタイムパスワードと並行利用できるし、セキュリティーキーが無くても問題はないからなあ…。共通利用のPCなんかを使う時は安全に使えると思うけど、日常的には出番がなさそうで残念。

仕方がない(?)ので、OTPを使ってMacにセキュリティキーによるPAM認証を組み込んで遊んでみた。まず URL にしたがってAppStore経由で Yubikey Personalization Toolを入れてYubikeyのOTP設定をする。次に <> をインストールしてコマンドで OTPの認証情報をhomeに書き込み、最後にpamに組み込んでおしまい。途中で引っかかるところもなく結構さくっと設定完了。そしてスクリーンロックやログオフをして試してみると…

お。いい感じ。2要素認証なので、通常のユーザパスワードを入れてすぐに(y)をタッチすると認証できます。(OTPは長押し)

まぁ面白いしセキュアにはなるのですが、これをMacOSに設定してしまうとセキュリティキー以外のフォールバックはできないので、セキュリティキーを紛失するとあっという間に詰む予感が。ノートパソコンだけにするのがいいかなぁ。

ここでふと思ったのはSSHを開けておくとどうなるのか。pam次第かとは思うが。