二要素認証(2FA)については、これまで何度か記事を書いてきました。これは、パスワード(ユーザーが知っている情報)と、デバイスで生成されたトークンやSMSで送信されるワンタイムコード(ユーザーが持っている情報)といった2つ目の要素を組み合わせた認証方式です。パスワードは盗まれたり、場合によっては抽出されたりする可能性があるため、2要素認証によって、ユーザーやユーザーのデバイスに物理的にアクセスできない人物がユーザーのアカウントに侵入することが大幅に困難になります。これにより、2FAの実装が不適切であったり、攻撃者がエクスプロイトを発見したりしない限り、数千、数百万ものアカウントに及ぶ大規模な攻撃を阻止できます。
AppleはiCloudアカウントにおける信頼できるデバイスによるアプローチを通じて2FAの煩わしさを軽減しようと試みてきましたが、多くの人は依然として、一般ユーザーが利用するには複雑すぎると考えています。強力でシンプル、そしてユビキタスにサポートされる何かが必要だと彼らは主張しています。私も同じ意見です。Appleのソリューションは、Appleのエコシステムに完全に組み込まれているユーザーと、Appleの一部のサービスでしか機能しません。
AuthyやGoogle Authenticatorなどの2FAアプリは、頻繁に2要素認証が必要な場合に適した代替手段です。設定は比較的簡単ですが、それでも万人向けではありません。私は毎日このようなアプリを使っていますが、必要なアプリを起動して確認要素を入力するという、簡単な手順を踏むたびにため息をついてしまうことを告白します。
新たな希望
しかし、FIDOアライアンスU2F規格という奇妙な名前の規格によって、さらなる簡素化が期待されています。FIDO(Fast IDentity Online)は、セキュリティ、ハードウェア、オンライン金融企業のグループで構成され、より優れた認証のための広範な標準規格の策定に取り組んでいます。U2FはUniversal 2nd Factor(ユニバーサル2要素)の略です。U2Fは、ログインやセッションに必要な2つ目の認証キーを提供する暗号化ハードウェアを搭載したUSBドングルなどのハードウェアに組み込まれています。
YubiKey Neo は、Yubico の他の製品と同様に、キーチェーンに収まるほど小型です。
U2Fデバイスは、コードベースの二要素認証を設定するのと同じように、サービスまたはウェブサイトに登録されます。登録時の暗号ハンドシェイクにより、将来二要素認証のチャレンジに回答する際には、U2Fデバイス内の鍵のみが確実に使用されるようになります。この技術で最先端を行くハードウェア認証デバイスメーカーであるYubicoの2つのバージョンをテストしましたが、回路は耐タンパー性も備えており、ファームウェアはアップデートできません。
ディスプレイに時間やシーケンスに基づいてキーを生成し、それを入力するキーフォブやカードとは異なり、U2Fキーはアカウントにログインする際に、ノートパソコンなどのデバイスのUSBポートに接続します。デバイスを接続するだけで十分な場合もありますが、ボタンをタップして情報を送信する必要があるデバイスもあります。
一部のキーには、YubiKey Standard のように押す必要があるボタンがあります。
Yubicoは、キーをUSBキーボードに見せかけることで、ドライバーなしでこれを実現しています。OSはデバイスを認識しますが、アプリはキーとの通信方法を理解し、検証トークンを正しく送受信する必要があります。モバイルデバイスの場合、標準のType Aプラグ用のUSBアダプターが必要になります。
Yubicoのキー、Premium Neo(50ドル)、Premium Neo-N(60ドル)、FIDO U2F Special Security Key(18ドル)には、一体型のボタンが付いています。Premium NeoはNFCに対応しています。(YubicoはAppleがNFCサポートを開放し、NFCによる直接認証を可能にすることを期待しています。)私はNeo-NとSpecial Security Keyをテストしました。Neo-Nは非常に小さいため、奥まったUSBポートから引き抜くのがかなり困難です。一方、Special Keyには持ち運びに便利なキーホルダー用の穴が付いています。
初期の支援者
今のところ、標準とハードウェアが新しいためサポートはほとんどありませんが、Google はこの仕様を支持しており、Mac OS X や他のプラットフォームの Chrome ブラウザ経由で使用する場合、Google アカウントによる他の 2 要素認証方式の代わりに U2F キーを使用できるようにしています。
Google はこれらの U2F キーをサポートしています。
あらゆる報告によると、U2Fの実装は非常に容易であり、FIDOアライアンスの理事会に大手企業が多数参加していることは、より広範なサポートが期待できることを意味します。U2Fを第二要素として認めることで、他の認証方法が排除されるわけではありません。(Yubicoには、パスワード入力を単純にシミュレートする、より汎用的に動作する他の種類の鍵があり、U2F対応ハードウェアの一部にはこの機能が搭載されています。)
U2Fキーは複数のアカウントに登録でき、パスワードで保護することはできません。そのため、複数のアカウントに適切なコードを生成するのに1台のハードウェアだけで済むという点で、アプリと同じくらい便利です。しかし、セキュリティドングルと同じくらい脆弱です。なぜなら、単に所持するだけで2要素認証の利点が失われてしまうからです。U2Fキーを物理的に入手した人物は、依然としてパスワードなどの1要素認証を必要とします。アプリやコンピュータベースの2要素認証は、2要素認証を取得する前に、コンピュータやモバイルデバイスのロックを解除するために、一見異なるパスワードを要求することで、より優れた認証方法となります。
Yubico の Neo-N と Nano はどちらも非常に小さいため、紐やイヤリングを付けない限り、奥まった USB ポートから引き抜くのは難しい場合があります。
U2Fキーは普及するでしょうか?すべてのキーホルダーに必須のアイテムになるとは想像しにくいですが、現在利用可能などのキーよりも使い方がはるかに簡単なので、既存の方法に煩わされない、より幅広いユーザー層を席巻するはずです。Appleが予想通りNFCアクセスを開放すれば、U2Fキーはさらに手間をかけずに、手軽に使える第二要素認証となるでしょう。
タッチIDと強迫観念に関する最新情報
初めてのPrivate Iコラムで、Touch IDには問題のある要素があることを指摘しました。それは、強制的に、あるいは法律によってデバイスのロックを解除させられる可能性があることです。「あなたの情報を入手したい個人、あるいは代理人は、あなたのデバイスを手に入れ、再起動されていないことを確認し、適切な指を指紋認証に十分な時間、静止させておくだけで済みます。」
ロブ・シュルツ したがって、多くの犯罪を犯すつもりなら、Touch ID の代わりにパスコードを使用することをお勧めします。
数週間後、アメリカの巡回裁判所の判事は、捜査中に自分のパスワードを要求することは自己負罪の一種であり憲法で保護されているためできないが、指紋はたとえデータのロックを解除できたとしても憲法で保護されていないとの判決を下した。
これはたった一つの裁判所の判決だが、その判決は、DNAや血液などは自己負罪を構成するものではないという、より一般的に受け入れられている考えと一致している。
Glenn Fleishman 氏は The Magazine の編集者兼発行者であり、Boing Boing および Economist の定期寄稿者、そして Macworld の上級寄稿者です。
