share facebook facebook twitter menu hatena pocket slack

2019.07.31 WED

KryptonでFIDO U2F

青池 利昭

WRITTEN BY 青池 利昭

個人的にSSHの鍵管理で利用しているkryptonがFIDOのU2F(Universal Second Factor)をサポートしていたので使ってみました。

仕組み

この説明がわかりやすい。
データの流れなどが簡単な説明とともに記載されている。
ブラウザ拡張がウェブページのU2Fに対する通信をフックして〜みたいな感じで動く模様。
これにより手持ちのスマホがU2F認証用のデバイスに変身する。

準備

  1. スマホにKryptonアプリをインストール
  2. ブラウザにKrypton拡張機能をインストール
  3. ブラウザに拡張機能を選択
  4. ペアリング用のQRコードが表示されるのでスマホアプリで読み込みして承認

これで準備完了。簡単。

U2Fデバイスとしての登録

ここではGithubを例に設定方法を説明。(他も基本は同じ)
1. ログイン → setting → Security → Two-factor authentication → Security keys
2. Register new deviceボタンを押下
3. デバイス名を登録後、Addボタンを押下
4. スマホアプリに通知がくるので認証

これで登録完了。

U2F認証

利用方法はシンプルでログイン後、セキュリティキーの利用が求められるとスマホアプリに通知が来るので承認すればシステムにログインすることができます。

設定自体はスマホアプリに登録されるので、Chormeの拡張機能でU2Fデバイスとして登録すれば、Safariで同じスマホアプリでペアリングしておけば同じようにスマホをU2Fデバイスとして利用可能になります。

スマホアプリ側でペアリングを信頼済みにするとスマホへの認証確認の通知が省略されて認証されます。
セキュリティと利便性のバランスを考えてユーザーがペアリング毎に設定を変更できるのは嬉しいところ。

その他

FAQにぱっと思いつきそうな疑問に対する回答がのってます。
krypto.coがスマホの中にある秘密鍵にアクセスできるようになってないか?
 とか
スマホなくしたらどうするの?
 とか
利用時に気になるところやリスクについてのっているので一読しておいたほうがよいです。

まとめ

  • 個人利用でカジュアルにスマホをセキュリティキーとして利用したい場合はとても有効
  • 事前にブラウザ拡張をインストールしてペアリングしてという作業が発生するのでU2Fデバイスを利用するよりも手間がかかる
  • スマホがあってもブラウザ拡張をインストールしてペアリングしないとU2Fの認証はできない
  • 当然のことながらスマホが電池切れしたりネットワークにつながってなかったり壊れてたら使えない
  • Kryptonに技術的な課題や事故が発生する可能性は0ではないので利用する場合はリスクがあることを理解しておくこと

元記事はこちら

KryptonでFIDO U2F

青池 利昭

青池 利昭

MSP開発チーム所属。毎日PDと戦ってます。最近 CFn をよく使うようになりました。Go言語と最近遊べてません

cloudpack

cloudpackは、Amazon EC2やAmazon S3をはじめとするAWSの各種プロダクトを利用する際の、導入・設計から運用保守を含んだフルマネージドのサービスを提供し、バックアップや24時間365日の監視/障害対応、技術的な問い合わせに対するサポートなどを行っております。
AWS上のインフラ構築およびAWSを活用したシステム開発など、案件のご相談はcloudpack.jpよりご連絡ください。