2014年10月31日金曜日

U2F準拠のUSBキーを使った二段階認証でGMailにログインしてみた。

MailがU2Fに対応したってことで、対応するキーを買ってみた。

U2Fってなに?

fido alliance ってとこが作ってる認証のための規格。 U2Fは、Universal 2nd Factorの略で現在ある認証(よくあるユーザIDとパスワード)に付け加えるかたちでセキュリティを高める仕組み。なので、USBキーだけでログインできるってわけではない。

GMailで例えれば、まず始めにユーザIDとパスワードを入力して、その後にUSBキーを求めてくる。そのUSBキーがあらかじめ登録されたものであれば、認証されるってわけ。

今回買ったキー

yubicoのFIDO U2F SECURITY KEYを書いました。日本だと売ってそうになかったのと送料も安いので、こちらの直販から購入です。1つ18ドルを2つと、送料が5ドルの計41ドルをPayPalで支払いました。安いよねー。今回買ったFIDO U2F SECURITY KEYは機能がU2Fでの認証に限られるらしいけど、yubicoにはUSBポートに埋まってしまうくらい小さいものや、NFCに対応したものとかあうようです。GMailにログインするために使いたいのであれば、ここにある比較表のGoogle Accounts Compatible (U2F)にyesが入っていればOK。一番高機能なものであれば、PREMIUM NEOの50ドルとなりますね。

10月22日の夜に購入して10月31日に届きました。10日もかからず届いたあたりスゴいなー。

エアメールかよ。封筒かよ。的な。中身はA4の紙一枚にキUSBキーが貼ってあった。かなり簡素かもしれないけど、これでじゅうぶんだよね。箱になると届くの遅くなりそうだし。

まずは登録

Google AccountでUSBキーを使うために、USBキーの登録を行わないといけません。と、その前に二段階認証の設定は済んでいることとします。スマートフォンとかを使ったワンタイムパスワードっぽいあれです。この二段階目のパスワード(番号)の代わりにUSBキーを使うってわけ。

でわ、登録。まず、Google Accountにログインし、「セキュリティ」タブから「2段階認証プロセス」を開きます。

「セキュリティキー」タブの「セキュリティキーの追加」を押します。

さぁ、登録です。画面の手順に従って、一度USBキーを外し、「登録」ボタンを押します。USBキーを指してキーをタップすれば、登録完了です。

二段階認証が設定されていれば、これだけでOK。思いのほか簡単でした。

USBキーを使ってログイン

Google Accountsのログイン画面を開いて、ユーザIDとパスワードを入れて「ログイン」を押すと。。。

出ましたね。促されるまま、USBキーを指せば認証されます。

もし手元にないときは「代わりに確認コードを使う」を押せば、スマホとかを使った認証が行えるようです。