概要
専門家の評価
長所
- 2要素ログインの暗号化セキュリティ
- ウェブログイン用の業界標準のWebAuthnをサポート
- 古いFIDOや類似の認証プロトコルとの下位互換性あり
- デュアルプラットフォームでの使用を可能にするUSB-CとLightningを搭載
短所
- AppleはiOSと今後のiPadOSではまだWebAuthnを直接サポートしていない
- macOSのSafariプレビュー、iOSのBraveブラウザのサポートを巡りウェブサイトが依然として動揺
私たちの評決
Yubikey 5Ci は、将来を垣間見ることができる製品で、今後 Web サイトやアプリによるより優れたサポートが求められる、高度にセキュリティ保護された暗号化されたアカウント認証を提供します。
Yubicoの新しいYubiKey 5Ciは、同社初のiPhone用Lightningアダプターを備えたハードウェア認証デバイスです。YubiKeyは、パスワードによるアカウント乗っ取りの可能性を低減するセキュリティを提供します。
テキストメッセージで送信されたり、Google AuthenticatorやAuthyなどの認証アプリで生成されたりする2要素トークンと同様に、YubiKeyはユーザー名とパスワードによるログイン後に追加の要素を提供します。電話番号は乗っ取られて他の電話に転送される可能性があり、実際にそのような事例も発生しているため、テキストベースのコードが常に同じ物理デバイスに届くと想定するよりも、YubiKeyはさらに信頼性が高いと言えます。
YubiKeyは現在、一部のアプリとiOSのBraveブラウザで動作します。YubiKeyは、World Web Consortium(W3C)が承認した比較的新しいWebAuthnプロトコルをサポートしており、独自の拡張機能や企業固有のハードウェアやソフトウェアを必要とせずに、ブラウザ内で直接、強力で暗号化された二要素認証を可能にします。
70 ドルのデバイスにはデスクトップ認証用の USB-C プラグも含まれていますが、その USB-C ポートはまだそのコネクタを備えた iPad では動作しません。
ユビコYubiKey 5Ciには、iOSデバイスで使用するためのLightningコネクタと、Macに接続するためのUSB-Cキーが搭載されています。USB-C搭載のiPadではまだ動作しません。
テストではYubiKey 5Ciは期待通りのパフォーマンスを示しましたが、多くのウェブサイトはまだiPhoneおよびiPad認証に対応していません。WebAuthnの普及が進み、YubiKey 5Ciが市場に投入されれば、近い将来、状況は改善されるでしょう。
幅広い業界の支持があるが、現場は遅れている
Yubicoは既に、従来のセキュアプロトコルに対応したUSBおよびNFC(非接触型)キーのラインアップを製造しており、最新モデルではWebAuthnにも対応しています。USB-Cと組み合わせたLightningへの今回の拡張は、Appleユーザーの需要と関心を喚起することで、よりセキュアなこの選択肢をiPhoneやiPadにも普及させようとする試みです。
Microsoft Edge、Google Chrome(デスクトップ版とAndroid版)、Opera、Firefox(デスクトップ版とAndroid版)、そしてAndroid標準ブラウザはすべて、リリース版でWebAuthnをサポートしています。Appleは、次期Safariバージョン13のテクノロジープレビューでWebAuthnを有効化しており、Catalinaでリリース版として提供される予定です。
Appleは、iOSおよびiPadOS版SafariがWebAuthnをサポートするかどうかについてまだ発表していません。WebAuthnは広く採用されている業界標準であり、セキュリティ管理はユーザーに委ねられているため、Appleが傍観する理由はほとんどありません。
現時点では、YubiKey 5Ci を使用するには、iOS で適切なアプリが必要です。これには、WebAuthn を直接処理するセキュリティ重視の Brave ブラウザや、1Password や LastPass などのサポートを組み込んだスタンドアロンアプリが含まれます。Yubico 社によると、今後さらに多くの企業が追随すると予想されています。
YubiKey 5CiをDropbox、Amazon Web Servicesコンソール、Twitter、1Passwordなどでテストしました。登録には現時点ではデスクトップブラウザを使用する必要があるようで、2本爪キーのUSB-C端子を使用しました。
登録後、状況は様々でした。1Passwordは認証をアップグレードしたことを即座に認識し、アプリ起動時にキーの入力を求めてきました。Lightningケーブルで接続し、タップするだけで、1Passwordが起動しました。
IDGiOS版1PasswordはYubiKeyから認証します。アカウントのセキュリティをアップグレードした後、次回アプリを起動した際にキーの入力を求められました。
他のサイトではもっと面倒でした。macOS Safari Preview が WebAuthn に対応していると認識されないサイトもあったので、デスクトップ版は Chrome に切り替えました。その後、iOS で Brave ブラウザを使ってみたところ、一部のサイトで Brave が WebAuthn に対応していると認識されませんでした。Dropbox では、ブラウザがコードを読み取れることは理解していましたが、そのまま受け入れませんでした。一方、Twitter では、1Password アプリと同じようにシームレスかつ完璧に動作しました。
既に数百ものウェブサイトがWebAuthnベースのログインに対応しており、他の二要素認証方式と併用するためにわずかな変更を加えるだけで済みます。昨年、ブラウザがWebAuthn標準の完成版への対応を追加したため、その数は増加しました。しかし、開発者は対応ブラウザを厳密に絞り込むことで、互換性の問題を最小限に抑えようとしていることは明らかです。
WebAuthnは、iPhoneやiPadに搭載されているAppleのSecure Enclaveや、Macに搭載されているT2セキュリティチップ、そして他のデバイスに搭載されている同様のセキュリティチップと同様に、テキストメッセージやアプリ生成による2要素認証に比べて、データの抽出が不可能な固有のハードウェアを必要とするという点で優れています。WebAuthnは、傍受や自動生成が可能なプレーンテキストコードではなく、公開鍵暗号方式を採用し、サイトごとに固有の暗号鍵を生成します。
WebAuthnは登録から始まります。WebAuthn規格に対応したサイトにアクセスするかアプリを使用し、本人確認を行います。その後、YubiKey 5CiなどのWebAuthn対応キーを差し込んでタップします。ハードウェアデバイスは、サイト固有の秘密鍵と公開鍵のペアを生成し、秘密鍵は改ざん防止機能を備えたハードウェアに保持されます。公開鍵はサイトに送信され、サイトはアカウントと共に公開鍵を保存します。
次回のアクセスでは、新しいブラウザ、地理的に離れた場所、またはサイトに応じて 30 日後など、2 番目の要素が必要となるシナリオでログインするときに、以前と同じようにユーザー名とパスワードを入力しますが、その後、YubiKey を挿入してタップして認証します。
暗号化されたメッセージは鍵内で生成され、サイト側は既にユーザーに関連付けられた公開鍵を保存しているため、誰かがメッセージを傍受する機会が大幅に減少し、サイトを欺くようなメッセージの生成を阻止します。また、元のURLと一致しず、登録時に使用した公開鍵を持たないサイトへのメッセージの送信も禁止されるため、乗っ取られたウェブサイトからのフィッシング行為を抑止できます。
結論
YubiKey 5Ciはすぐに使える状態ですが、その魅力を最大限に引き出すためのパーツが揃っていません。iOSではウェブサイト、アプリ、そしてApple製品が連携しておらず、macOSでは若干の不具合があるため、70ドルという価格は高すぎるように思えるかもしれません。
ただし、WebAuthn は業界で広くサポートされている取り組みであり、順調に進んでおり、勢いを増しているため、5Ci は将来を見据えた購入として最適なポータブル認証デバイスです。
