YubiKeyが搭載している機能
複数の認証機能を搭載した最新のデバイス「YubiKey」
W3CがWebAuthとして採用したFIDO2にはYubiKey5から対応しています。
また、そのうち幾つかは2つのスロットそれぞれに別の認証方式を設定することができ、
最大で6つの機能を同時に使うことができます。
YubiKeyの機能
- FIDO U2F & FIDO2
- OATH-TOTP
- Smart Card、IC Card(PIV-Compatible)
- OpenPGP
- 2つのスロットにそれぞれに設定できる機能
- Yubico OTP
- OATH-HOTP
- チャレンジレスポンス
- 安全な静的パスワード
- Symantec VIP
Yubico OTP
Yubico社独自の44桁のワンタイムパスワード。
AES128Bit暗号化によるOTP生成アルゴリズムにて毎回異なる文字列を生成します。一度発行した文字列は二度と発行されません。
文字列生成はUSBキー内部のICで完結するので、外部からの逆アセンブリによる解析は不可能です。
ワンタイムパスワードと固定パスワードを組み合わせる二要素認証で強固なセキュリティと利便性を実現できます。
カウントアップ方式のため発行限界がありますが、1日5回しても18年間は使用できます。
米国の国防総省が認定したセキュリティー基準をクリアしています!
OTP文字列の例YubiKey
2回目:ccccccbgjfkithingjetibnnijcbujgjbbckbkhtjhiu
FIDO U2F
チャレンジレスポンスと公開鍵基盤(PKI)を組み合わせた最高技術で、ユーザー情報もしくは暗号鍵がサービス提供者間で共有されません。
Google、GitHub、DropBoxの二段階認証にFIDO U2Fが使用可能です。
FIDO Alliance
FIDO U2F(Universal Second Factor:2要素認証)は、FIDOが推奨する認証方法のうちの1つ。
現行のオンライン認証の第一要素に、USBメモリなどの第二要素による認証を追加した二段階認証を実現します。
チャレンジレスポンス
従来のID / パスワードとランダムな値を組み合わせた、クライアント(PCやデバイス)と認証サーバー間の認証方式
OpenPGP
電子署名や暗号化に用いられるオープンな規格。
スマートカードに格納された電子鍵を用いた暗号仕様(RSA/ECC)により電子署名
PIV
SIMカードやSuica等のICカードに埋め込まれているICチップ上で、個人識別を行うための仕様。
OATH-HOTP
HOTP(HMAC-Based One-time Password)アルゴリズムを利用した認証方式。
ユーザーが決めたパスコード(シークレット)とOTPの生成回数をもとにOTPを生成する方式です。
OTPの生成には、以下の2つのデータが必要になります。
- ユーザーが決めたパスコード(シークレット)
- OTPの生成回数またはOTPの生成時刻
この2つのデータをサーバとクライアントの両方で保持し、生成したOTPが一致すれば認証OKとなります。
ハッシュ値とは
同じデータからは必ず同じハッシュ値が得られる一方、少しでも異なるデータからはまったく異なるハッシュ値が得られる。
OATHとは
SymantecやSyscoが参加しています。
OATH-TOTP
TOTP (Time-based One-time Password Algorithm)アルゴリズムを利用した認証方式。
一定時間ごとにワンタイムパスワードを生成します。
パスワードの生成には、Yubico社が提供している専用のアプリケーションが必要になります。
- Android端末の場合、Yubico AuthenticatorをGoogle Playからダウンロードしてお使いください。
- パソコンでお使いの場合、こちらのページからYubico Authenticator for Desktopをダウンロードしてお使いください。
OATHとは
SymantecやSyscoが参加しています。