40
Apple IDでハードウェアセキュリティキーを設定する方法

Apple ID はクラウド上の宝物を開く鍵となる可能性がありますが、悪意のある人物の手に渡ると、侵入者が思い出や連絡先を破壊したり、パスワードのリセットによって財務情報にアクセスしたり、詐欺で友人にあなたになりすましたり、許可なくあなたを追跡したりする可能性があります。

Appleは、デバイスやiCloud.com、Apple IDウェブサイトなどからApple IDにログインする方法を「強化」することで、ユーザーのオンライン生活とデバイスを保護するためのさらなる方法を模索し続けています。最新の改善は2023年1月に実施され、デバイスにiOS 16.3、iPadOS 16.3、macOS 13.2以降がインストールされている必要があります。

このアップデートにより、USB または Lightning 経由で差し込むか、NFC 経由で接続するハードウェア セキュリティ キーを「第 2 要素」として使用できるようになります。これは、パスワードに加えて、正当なアカウント所有者であることを証明する要素です。

セキュリティキーは、FIDO(開発元の業界団体名にちなんで名付けられました)と呼ばれる、広くサポートされている業界プロトコルに基づいて設計されており、内部にはチップが内蔵されています。このチップは、セキュリティキーを使用して登録するサイトごとに暗号化キーのセットを生成します。これらのキーは、なりすまし、傍受、複製することはできません。使用するには、キーを物理的に所有している必要があります。

これらのキーは複数の企業から提供されています。Yubico社はパイオニアであり、USB-CとLightningの両端にプラグが付いたものなど、最も豊富な種類を揃えています。価格は1個あたり約20ドルから60ドルです。Apple IDへの登録には2個必要です。アカウントのセキュリティ強化のため、プロモーションとして配布している企業もあります。同じメーカーのキーを2個必要とするわけではありません。

セキュリティキーを使用する理由

2つのキーのコスト、それらを安全に保管する必要性、そしてApple IDにログインするたびに1つのキーを所持しなければならないという要件は、多くの人にとって負担が大きすぎるかもしれません。Appleの既存のコードベースの2要素認証(2FA)システムは、あなたにとって十分に機能するかもしれません。必要なのは、Apple IDアカウントに関連付けられた信頼できるデバイス、またはテキストメッセージや自動音声通話の受信が信頼できると確認された電話番号だけです。

しかし、ハードウェアセキュリティキーは、強力なアカウント保護手段としてますます多くのウェブサイトで利用されており、使い始めると、他のログイン方法よりも便利だと感じるかもしれません。他にもメリットがあります。同じハードウェアキーを複数のデバイスやプラットフォームで使用できるため、ログインをiCloudキーチェーン同期システムなどに縛られることがありません。

Apple ID ログイン用のハードウェア暗号化キーへの移行に興味がある場合は、まず上記の 2 つを購入してから、読み進めてください。

Yubico の FIDO キー ファミリー
Yubico の FIDO キーのフル ラインには、さまざまなサイズとコネクタが含まれています。

ユビコ

重要な注意点:Appleは「Apple IDのセキュリティキーについて」というドキュメントの中で、セキュリティキーが信頼できるデバイスや信頼できる電話番号経由で企業から送信される6桁のコードに代わるものであることを明確にしていません。Appleは「セキュリティキーは、通常使用される6桁の確認コードの代わりに、2つ目の情報源として機能することができます」と述べています。しかし、テストでは、セキュリティキーを有効にすると、コードベースの方法は使用できません。セキュリティキーを無効にすると、コードベースの方法に戻ります。

舞台裏の仕組み:鍵のペア

セキュリティキーは公開鍵暗号方式を採用しています。これは、おそらくご存知の通りです。ユーザーであるあなたには、複雑な部分はすべて隠蔽されます。これはFIDOアライアンスの意図の一つです。公開鍵暗号方式では、ウェブサイトのアカウントの所有権を証明するための鍵など、新しいIDが必要になるたびに、オペレーティングシステムなどのソフトウェアが強力な秘密鍵をランダムに生成し、そこから数学的に絡み合った公開鍵と秘密鍵を導出します。

秘密鍵は、ソフトウェアまたはハードウェアによって厳重に秘密に保管されます。通常、秘密鍵はデバイスから外部に持ち出されることはなく、所有者であるあなた自身が直接アクセスすることさえできない場合があります。一方、公開鍵は自由に共有できます。あなたの公開鍵を所有する第三者は、公開鍵を使って、あなただけが読めるメッセージを暗号化し、あなたの秘密鍵で復号化することができます。また、あなたが送信した文書やその他のメッセージの正当性を検証することもできます。デバイスは秘密鍵を使ってメッセージに暗号的に「署名」することができ、公開鍵を持つ人は誰でも、そのメッセージがあなただけによって署名されたことを確信できます。

ハードウェアセキュリティキーとFIDOプロトコルを利用することで、アカウント設定からサインアップし、ウェブサイトでハードウェアキーによる2要素認証を利用することができます。ハードウェアキーはウェブサイト固有のシークレットを作成し、公開鍵をウェブサイトに送信します。ウェブサイトはそれをアカウント情報と共に保存します。

後でログインすると、次のようになります。

  • サイトは、以前に保存した公開キーを使用してチャレンジを発行します。
  • オペレーティング システムはセキュリティ キーと通信してレスポンスを生成し、その Web サイトの秘密キーでチャレンジに署名します。(Web サイトが提供した公開キーが一致しない場合は、フィッシング攻撃の可能性があることを示し、プロセスは失敗します。)
  • オペレーティング システムが署名されたチャレンジを返します。
  • ウェブサイトは保存された公開鍵を使用して本人確認を行います。本人確認ができれば、ログインが完了します。

面倒に聞こえるかもしれませんが、細かい操作は一切必要ありません。セキュリティキーを使用するには、指示に従ってUSB Type-A、USB-C、またはLightningジャックに挿入し、押す、タッチする、またはタップするだけです。(挿入したままにして、デバイスやウェブサイトの指示に従って起動することもできます。)タッチレスNFCセキュリティキーの場合は、NFC対応デバイスに近づけます。登録時または後でログインした際に、セキュリティキーが適切な情報を生成します。

Apple IDのセキュリティキー認証は、iOS 16.3/iPadOS 16.3以降、またはmacOS 13.2以降から登録できます。iCloud.comまたはApple IDウェブサイトでは登録できません。

Appleでは、紛失した場合に備えて少なくとも2つのセキュリティキーを用意することを義務付けています。セキュリティキーは、アクセス可能な別の場所に保管することをお勧めします。

これまで認証のためにコードの入力を求められた場合は、今後はセキュリティキーのいずれかを手元に用意しておく必要があります。Appleは、以下のすべてのタスクでは常にセキュリティキーが必要になることを明記しています。

  • 新しいデバイスを追加します。
  • Apple ID を使用して Apple の Web サイトにログインします。
  • Apple ID のパスワードをリセットします。
  • ロックされた Apple ID アカウントのロックを解除します。
  • セキュリティ キーを追加または削除します (ただし、セキュリティ キー認証は完全には削除しません)。

警告! 両方のキーを紛失した場合、または盗難、破損、破壊された場合でも、信頼できるデバイスを使用してアカウントへのアクセスを回復したり、キーを削除して新しいキーを登録したりすることは可能です。ただし、セキュリティキーが使用できなくなり、すべての信頼できるデバイスにアクセスできなくなった場合、Apple IDアカウントは永久に利用できなくなる可能性があります。

セキュリティキーを有効にした後は、新しいWatch、Apple TV、またはHomePod(全モデル)にサインインする際には、必ずiPhoneまたはiPadを使用してください。Macはサインインには使用できません。

Apple IDでセキュリティキーを設定する方法(macOS)

macOS で Apple ID のセキュリティ キーを設定する方法は次のとおりです。

  1.  >システム設定>アカウント名>パスワードとセキュリティに移動し、セキュリティ キーラベルの右側にある追加をクリックします。
  2. Appleは、セキュリティキーがアカウントに及ぼす影響について概要を説明しています。「セキュリティキーを追加」をクリックして続行してください。
  3. Apple は 2 つのキーが必要であると警告します。[続行]をクリックします。
  4. ダイアログに「Apple ID」と「Apple ID が変更を要求しています」と表示されますが、macOS アカウントのパスワードを入力して「許可」をクリックします。
  5. 各セキュリティキーを追加するには、「最初のセキュリティキーを追加」または「2番目のセキュリティキーを追加」画面が表示されます。両方のパスについて、以下の手順に従ってください。
    1. [続行]をクリックします。
    2. セキュリティ キーを追加するように求められたら、プラグが付いている場合はキーを挿入し、ボタンを押す、特定の方法で保持する、またはタップしてキーをアクティブ化します。
    3. キーに一意の名前を付けます(消えないマーカーで番号を書いておくのも良いでしょう)。「続行」をクリックします。デフォルトでは、Apple がキーのモデル名を入力します。
プロセスを開始するには、「追加」をクリックします。
  1. 両方のキーを登録すると、Appleは現在iCloudアカウントにサインインしているデバイスのリストを表示します。このステップでログアウトするデバイスを選択するか、「すべてサインイン状態を維持」をクリックするか、「キャンセル」をクリックして登録ずにプロセスを終了することもできます。
  2. 確認画面で、「完了」をクリックします。

Apple は、登録を確認する (またはその事実を通知する) ために、Apple ID に関連付けられたアドレスにメールを送信します。

Apple IDでセキュリティキーを設定する方法(iOS/iPadOS)

手順はmacOSとほぼ同じです。ただし、2つの違いがあります。

  • [設定] > [アカウント名] > [パスワードとセキュリティ]から開始し、[セキュリティ キーの追加]をタップします。
  • 上記の手順 5->1 でキーを追加するように求められたら、NFC 搭載のセキュリティ キーを iPhone または iPad の上部に近づけると、キーが認識されてアクティブ化されます。

セキュリティキーを削除または完全に無効にする方法

Appleでは、セキュリティキーを削除したり、セキュリティキー認証を無効にしたりするために、セキュリティキーの存在を求めていません。「設定」(iOS/iPadOS)/ 「システム設定」(macOS)> 「アカウント名」 > 「パスワードとセキュリティ」に移動します。「セキュリティキー」をタップするか、「セキュリティキー」ラベルの横にある「編集」をクリックします。(これはセキュリティリスクです。iPhoneまたはiPadのパスコードにアクセスできる人が、ハードウェアセキュリティキー認証を無効にして、コードベースの2要素認証を使用する可能性があります。これは、 盗難と物理的な攻撃に関するウォールストリートジャーナルの 記事で説明されています。)

Appleでは、キーとその登録日時を確認し、それに基づいて操作を行うことができます。また、セキュリティキーの保護を解除することもできます。

3 つ以上のキーが登録されている場合にのみ、1 つのキーを削除できます。

iOS/iPadOSの場合:

  • エントリをタップして名前を変更するか、「キーを削除」をタップして削除を確定してください。完了するにはセキュリティキーが必要です。
  • 「すべてのキーを削除」をタップし、「削除」をタップして認証を無効にします。その後、iPhoneまたはiPadのパスコードを入力します。
  • 追加のキーを登録するには、 「セキュリティキーを追加」をタップします。完了するには、既存のセキュリティキーのいずれかを入力するように求められます。

macOSの場合:

  • 名前を変更するには、エントリの名前をクリックします。
  • エントリを選択し、マイナス (-) アイコンをクリックして削除し、削除を確認してから、セキュリティ キーを入力します。
  • 「すべてのキーを削除」をクリックし、macOS アカウントのパスワードを入力します。
  • 追加のキーを登録するには、プラス(+)アイコンをクリックします。完了するには、Apple から既に登録済みのセキュリティキーの入力を求められます。

どちらの場合も、コードベースの 2FA が再度有効になりました。

Rumors
Posted by Timsod