spp5: YubiKeyを買いました

はじめに

なんかパスワード入れるのめんどくさいです。最近はどこでもアカウントを作らされるのですが、同じパスワードを使いまわすのは少し心配です。サイトごとに別のパスワードにしてKeepassに入れていますが、だんだん嫌になってきます。なんでこんなばかなことやってるんでしょう。なんかUSBとかで勝手にパスワード入れてくれないでしょうか。LastPassでもいいですが、ネットなんかに入れたくありません。

2013-03-29 追記
　　なお、Yubikeyでログインできるサイトは、基本的にYubiCloud対応サイトかOpenID対応サイト
　　となります。上の文章で書いてあることはこのページの内容とあまり関係ありません。

外のサイトはともかく家のパソコンぐらいパスワードフリー※1にならないかと思いUSBトークンとか調べてみましたが、値段も掲載されてないものが多く、個人で使うにはなんか敷居が高いです。そういえばYubiKeyというものがあったような急に思い出しました。このYubiKeyどこかで話題になっているというのをネットで読んだことがあります。指キーなので忘れようがありません。

YubiKeyについて

YubiKeyはワンタイムパスワードを生成するセキュリティトークンの一種で、使い捨てのパスワードを生成してくれます。使われたパスワードはもう無効になるし、次使えるパスワードはサーバーとセキュリティトークンにしかわからないので、より安全になります（もちろんセキュリティトークンをサーバーに登録する必要があります）。よく見るタイプのセキュリティトークンは液晶画面に表示されたパスワードを都度手動で入力するのですが、このYubiKeyはUSBで接続すると、キーボードとして認識され代わりにパスワードを打ってくれます。

ワンタイムパスワードは使用しているプログラム側で対応しなければならないので、どこでも使えるというわけではありませんが、YubiKeyは安い、小さい、入力がキーボードと一緒なのでドライバーなどを入れる必要がないなどの利点があります。どうやって使うのかというと、日本での情報はあまりみつかりません。ということで、とりあえず買ってみることにしました。

YubiKeyを購入する

まずYubiKeyのメーカーであるYubicoさんのHPに行きます。指キーだとおもっていサイトに行くとびっくりします。日本語のにの字もありません。それでもOrderを押して製品を選べば簡単に買うことができます。製品は普通の、小さいやつ、RFID付き、ベータ版のNFC付きなどがあります。私は酔っていたので10ドル余計に出してRFID付きのものを買いました。RFIDはMIFARE Standard 1kと言われるもののようです。Pasoriでアクセスできなかと期待したのですが、残念ながらダメでした。NFC付きのNeoはベータ版ですがAndroidでNFC対応のものを持っていたら読み込むことができるそうです。Pasoriでもできそうですが未確認です。支払いはクレジットやPaypalが利用できます。届け先の住所はもちろん英語で書きました。

安い方のプランで最大14日ですが、6月18日に注文して、22日に届きました。意外に早いです。

(自慢じゃないですが、写真を取るのはあまりうまくありません。)

Personalization Toolを使った設定方法

使い方ですが、まずUSBをPCにさして、光っている金属のボタンを押します。するとこんなのvvnsghtuhxznrirlreekblddbenertijbnkgebbnekが入力されます。まったく意味不明です。あきらめて説明を読むことにします。

まず、Personalization Toolをダウンロード、インストール、起動します。初めにメニューとなる画面が表示されますが、それは無視して上のツールバーぽいのをクリックすると各設定画面に移ることができます。

このYubiKeyですが、認証方法に何種類かあります。

Yubico OTP

ワンタイムパスワードです。サーバーが必要となります。社内に建ててもいいし、代わりに Yubico社のサービスを利用することもできます。

OATH-HOTP

ワンタイムパスワードです。 OATHはワンタイムパスワードの標準規格なのでサーバーがあるならこれです。ただし、よくみかける時間がたったらパスワードが変わるワンタイム認証には対応していませんYubiKeyに時計が内蔵されていなからです。

Static Password Mode

設定したパスワードをそのまま入力してくれます。タブキーも入れることができるので、ものによってはユーザー名とパスワードを一度に入力できます。試してませんが、これを使えば家のパソコンがパスワードフリーになるかもしれません。

Challenge-Response Mode

チャレンジレスポンスです。サーバーいらず※2でワンタイムパスワードのように使用できますが、使用するためには、クライアントプログラムを作らなければなりません。

この内2つを選んで、slot1、slot2に割り当てることができますが、2つ割り当てた場合ボタンの押した長さによってどちらを選べます。slot1は0.5～1.5秒、slot2は2～5秒、8秒以上の場合はなにか起こるけどよくわかりません。めんどくさい場合slot2を設定しないか、Callenge Responseにしておけばslot2はボタンを押す必要はないので、このような使い分けは必要なくなります。

APIなどはOpenSourceのソフトウェアが多いようなので、自作アプリケーションの組み込みも容易にできるはずです。Static Password Modeでユーザー名とパスワードを入れておけば簡単に使えます。でもそれだと意味があまりないので、次に簡単と思われるYubico OTPでYubicoさんのサービスを使って見ることにします。

Yubicoさんのサービスを使用すると、既存のWebサイトなどからYubicoさんのサーバーにアクセスして認証することができるようになります。YubiCloudサービスというらしい。これが使えるかはどのくらいYubicoさんが信用できるかによるかと思います。Yubicoさんの情報が日本ではあまりありませんので、ちょっとわかりません。使うにしてもユーザー名と固定パスワードで一度認証させてからさらにYubiKeyで認証させたほうがいいかもしれません。なお、調べてないのでYubiCloudを本気でやってるのか遊びでやってるのかもよくわかリません。

まず、AESキーというのをYubicoさんに登録する必要があります。以下設定方法です。

まず画面右上のYubico OTPをクリックします。

Yubico社のサーバーを使用する場合、Quickを押します。

こんなのが表示されるので、Slot1を選んで、気の済むまでRegenerateを押します。

気がすんだら、Write Configurationボタンを押し、YubiKeyに設定を書き込みます。

Yubicoさんのサーバーで認証できるようにするために、秘密のAESキーを登録しなければなりません。Upload to Yubicoボタンが押せるようになるので押します。

ここで、AESキーのアップロードサイトに飛ばされるので、メールアドレスを入力、OTP（ワンタイムパスワード)のところにYubikeyを押してパスワードを入力させる。

あとは一番下の書いてある読みにくい単語2つを下のボックスにいれてボタンを押すだけです。

成功と出ます。

終わったらデモサイトに行きます。

ただし、設定が反映されるのに15-20分待てとのことなので待ちます。

その後、YubiKeyのところにカーソルをおいてYubiKeyのボタンを押します。

Congratulationsと表示されたら成功です。

YubiKeyを押した際にサーバーと通信が取れないとYubiKeyのパスワードだけ先に進むのでお互いのパスワード情報がずれてしまうんじゃないかとおもいますが、20回程度では認証は成功しました。

YubicoさんはOpenIDサービスもやっているようなので、対応サイトであればYubiKeyのみでアクセスできるはずです。使用は自己責任で。

Revoke Serviceに登録する

この登録ですが、何回でもやり直すことができるようです。使っていないキーがいつまでも有効になっているのは気分が良くないので、キーを上書きしてしまったとか、YubiKey自体をなくしてしまったとかいう時のために、登録したらとりあえずキーをRevoke Serviceに登録しておくことをおすすめします。

最後にやり方だけ書きます。

Revoke Service ログイン画面のenroll hereからアカウントを登録します。

下記画面に必要事項を入力します。

YubiKey欄にはもうおなじみのYubiKeyのワンタイムパスワードを入力します。