YubiKey のような物理セキュリティ キーは、2 要素認証を強化し、オンライン アカウントとデータを攻撃者から安全に保つための優れた方法です。 iOS と macOS でこれらを使用する場合に知っておくべきことは次のとおりです。
あらゆる形式の 2 要素認証はパスワードのみに依存するよりも優れていますが、物理キーにはワンタイム パスコード (OTP) などの一般的な方法に比べて多くの利点があります。どこから始めればよいかわからない場合は、ここで基本的なことをいくつか説明します。
物理セキュリティキーとは何ですか?
2 要素認証によるアカウントのセキュリティは、大きく 2 つの要素に集約されます。パスワードなどの既知のものと、OTP コードを取得するための電話へのアクセスなどです。
2 要素認証 (2FA) では、ログイン プロセス中に必須のステップとして 2 番目の要素 (ユーザーが持っているもの) が追加されます。しかし、ほとんどの基本的な 2FA システムは、SMS テキスト メッセージ経由で送信されるパスコードに依存しています。この方法は、熟練した攻撃者や SIM ジャッキングなどの手法に対して脆弱です。
セキュリティ キーは、固有の脆弱性の一部を取り除くのに役立ちます。これらは基本的に、USB ドライブとほぼ同じサイズと形状の小さなデバイスです。セットアップが完了したら、デバイスに接続するだけで、認証の 2 番目の要素として使用できます。
キーへの物理的なアクセスを要求することで、パスワードが漏洩した場合でも、誰かがアカウントに侵入できる可能性が大幅に減少します。
現在、市場には多くのセキュリティ キーが入手可能ですが、FIDO Universal 2nd Factor (U2F) に準拠したものを使用することが最善です。人気のあるメーカーには、Yubico、HyperFido、Thetis などがあります。
セキュリティ キーと他の 2FA 方式との比較
一般に、セキュリティ キーは他の 2FA 方式よりも安全です。
セキュリティ キーは、2FA または多要素認証の唯一のオプションではありません。他のオプションと比較すると、独自の欠点もあります。
まず、セキュリティ キーは現在 Apple ID または iCloud サービスと互換性がありません。 Apple は独自の 2FA システムに依存し、信頼できる Apple デバイスにワンタイム パスコードを送信します。
Apple の 2FA は、SMS パスコードよりも安全です。ただし、Apple 2FA を使用して Gmail アカウントや Facebook アカウントを保護することはできません。そこでサードパーティシステムが登場します。
物理的なセキュリティ キー以外にも、特定の間隔後にワンタイム パスコードをランダムに生成する認証アプリなどのオプションがあります。これらの認証コードはデバイスから外部に流出することはないため、SMS パスコードよりもはるかに安全です。
すべてのワンタイム パスコードと同様、認証アプリは依然として特定の種類のフィッシング攻撃に対して脆弱です。また、誰かがあなたの iPhone や認証アプリを備えたデバイスに物理的にアクセスした場合、あなたのアカウントにもアクセスできる可能性があります。
セキュリティ キーを使用すると、何もコピー、貼り付け、または入力する必要がないため、フィッシングの脆弱性が排除されます。キーへの物理的なアクセスが懸念されるかもしれませんが、誰かがあなたのパスワードを必要とする可能性はあり、いつでもアカウントからキーを削除することができます。
パスコードなしの 2FA を提供するほぼすべてのオンライン アカウントまたはプラットフォームはセキュリティ キーをサポートしますが、実際の対応状況は異なる場合があります。これには、Google、Facebook、Twitter、Dropbox などのソーシャル メディア サイトやオンライン サービスが含まれます。
これらを使用してパスワード マネージャーの保管庫をロックダウンすることもできますが、ほとんどのパスワード マネージャーでは、その機能のロックを解除するには有料のプレミアム サブスクリプションが必要です。
macOS では、ほとんどの Web ブラウザでセキュリティ キーを使用できます。 Yubico 製のキーなど、一部のキーを使用すると、Mac デバイスを実際にロックすることもできます。
iOS での互換性はもう少し注意が必要です。セキュリティ キーを許可するほとんどのサードパーティ アプリは、iOS アプリでセキュリティ キーをサポートします。 iOS および iPadOS 13.3 の時点で、Apple は Safari でオンライン サービスにログインする際のセキュリティ キーもネイティブにサポートしています。
YubiKey 5 などの人気の Yubico モデルなど、一部のセキュリティ キーは NFC 経由の短距離無線認証も提供します。スマートフォンやタブレットが NFC をサポートしていない場合は、互換性のあるコネクタを備えたキーを探してください。
セキュリティキーの設定
起動して実行するための正確なセットアップ プロセスはモデルによって異なりますが、全体的にはほぼ同じです。識別またはリンクのプロセスがあり、それだけです。 Google は独自の物理セキュリティ キーを持っており、他のベンダーも同様ですが、この記事では、最も人気のあるセキュリティ キー メーカーである Yubico に注目します。
ユビコには専用ウェブページ互換性のあるすべてのサービスのセットアップ手順が記載されています。そのページの上部には、より一般的なプラットフォームの手順が表示されますが、セキュリティを確保したいプラットフォームが表示されるまで下にスクロールできます。ただし、前述したように、Apple ID はまだサポートされているサービスの中に含まれていません。
その Web ページからリンクをたどることも、サービスの Web サイトに直接移動することもできます。これを行ったら、通常は、サービスのセキュリティ設定ページを見つけて、2FA オプションとしてセキュリティ キーを追加するだけです。
セキュリティ キーを紛失した場合に備えて、バックアップの 2FA メソッドがあることを確認してください。それは、セカンダリ セキュリティ キーまたは認証アプリである可能性があります。セットアップ中に必ずバックアップ方法を追加してください。
セキュリティキーの使用
ほとんどのサービスでは、セキュリティ キーの使用手順を順を追って説明します。
2 番目の要素としてセキュリティ キーを追加したら、どこにでもそれを持ち歩きたくなるでしょう。セキュリティ設定によっては、これなしではアカウントにログインできません。
SMS ベースの 2FA と同様に、信頼できるデバイスにログインするときにセキュリティ キーを使用する必要はありません。同様に、すでにアカウントにログインしているデバイスを認証する必要はありません。
2FA で保護されたアカウントにログインするときは、通常、セキュリティ キーをコンピュータの USB ポート、または iPhone または iPad の Lightning ポートに接続します。前述したように、一部のキーは NFC によるワイヤレス認証をサポートしています。キーがあれば、iPhone または NFC 互換デバイスの近くにキーをかざしてください。
Yubico のモデルなど、一部のモデルでは、キー自体に物理的に接触する必要があります。通常、これは何らかのタイプの接点またはボタンになります。特定のモデルの説明書を参照してください。これを実行すると、通常どおりログインできるようになります。
macOS および iOS ではセキュリティ キーの先頭のみ
現時点では、セキュリティ キーはそれほど普及していません。そのため、多くのサービスやアカウントの種類には互換性がありません。たとえそうであったとしても、互換性が常に適切に実装されているとは限りません。
それにもかかわらず、セキュリティ キーは現在でも、特にリスクの高いユーザーやセキュリティを重視するユーザーにとって、アカウントを保護するための優れたオプションです。そして、それらの人気が高まるにつれて、Apple のようなサービスが全体的にそれらをより広く採用する可能性があります。
データ侵害、フィッシング攻撃、その他のセキュリティ リスクの蔓延により、将来的にはセキュリティ キーや認証アプリなどの 2FA システムの必要性がさらに高まるでしょう。
ただし、セキュリティ キーの使用を開始するのが早くても遅くても、まったく使用し始めなくても、重要なのはセキュリティのすべての制限を認識することです。あらゆる種類の 2FA を使用することは、正しい方向への一歩です。
Isamu 
Isamu 
Isamu