YubiKey USB接続でのFIDO利用方法

FIDOの接続方法として、USB接続とNFC接続があります。
クラウドサービスの種類によって、USB接続、NFC接続どちらに対応しているか異なります。USB接続、NFC接続の対応サービスは下記の表のようになります。

クラウドサービス FIDO2 USB接続 FIDO2 NFC接触 (Windows) FIDO2 NFC接触 (iPhone)
Google
1Password
Dropbox
Microsoft ×
Github
Twitter
OneLogin

△…Microsoft EdgeだとNFC接続できませんが、ChromeだとNFC接続できます。
(2020/12/01現在)

YubiKeyのFIDO2とFIDO U2F
有効化/無効化の設定方法

クラウドサービスによって FIDO2、FIDO U2Fどちらが対応しているか異なります。そのため使い方に応じてFIDO2とFIDO U2Fを有効化する必要があります。

YubiKey ManagerのInterfaces設定からでFIDO2、FIDO U2Fそれぞれの有効化、無効化ができます。Default = 有効 となっています。

インターフェース設定画面

クラウドサービスごとのFIDO2、FIDO U2F対応は次のようになります。GoogleはU2Fに対応、MicrosoftはFIDO2に対応と違いがあります。
FIDO U2F、FIDO2どちらにも対応しているサービスの場合の選択方法は、FIDO U2F = PIN不要でデイバス認証したい場合、FIDO2 = PIN入力をして自分だけがデバイス認証を利用できるようにしたい場合に、それを選ぶ方法が分かりやすい選択です。

クラウドサービス FIDO2 FIDO2 U2F
Google ×
1Password
Dropbox
Microsoft ×
Github
Twitter

(2020/12/01現在)

FIDO U2F 利用方法

YubiKeyをFIDO U2Fで利用する場合はPIN操作はありません。PINを入力せずに認証ができます。FIDO U2Fの使用例として、Googleアカウントの二段階認証プロセスがあります。

FIDO U2Fを利用するGoogleアカウント認証の利用方法

  1. Google アカウントにログインします
  2. アカウント管理に移動します
  3. セキュリティの項目から下へスクロールし、「2段階認証プロセス」を選択します
  4. 2段階認証プロセス画面で「使ってみる」をクリックします
  5. 「他のオプションを表示」をクリックします
  6. セキュリティ キー」を選択します
  7. 登録するYubiKeyを準備できたら、右下の「次へ」をクリックします
  8. PCのUSBポートにYubiKeyを挿してタッチをします
  9. YubiKeyの登録が完了すると、「セキュリティ キー名」を入力し右下の「完了」をクリックします
  10. 「セキュリティ キー名」の入力が完了すると、画面表示が変わります

以上でGoogleアカウントとの連携の設定は完了です。

FIDO2 (WebAuthn) 利用方法

YubiKeyをFIDO2で利用する場合はPINを設定することができます。YubiKey ManagerのInterface設定画面でFIDO2を有効にします。Change FIDO2 PIN画面でをPIN設定しておくと、サービス認証する際にPIN入力を求められるようになります。
一般ユーザーはPINを設定すること無く利用することに心配は少ないですが、管理者など権限が強いユーザーはYubiKeyにPINを設定することをお勧めします。

FIDO2を利用する1Passwordアカウント認証の利用方法

YubiKeyをFIDO2で利用サンプルとして1Passwordアカウント認証の利用方法を説明します。1PasswordではFIDO2でもFIDO U2Fでも使用できますがFIDO2を有効にした場合PINの入力が必要です。
PIN入力の有無は次の表のようになっています。

FIDO2 FIDO U2F PIN入力
不要
× 不要
× PINを設定していれば必要
  1. 1Passwordにログインして、右側のアカウントのタブから「マイプロフィール」を開きます
  2. 左側にある「その他のアクション」から「2要素認証の管理」を開きます
    1Passwordで2要素認証にYubiKeyを登録するには、Authenticatorアプリを登録しておく必要があります
  3. Authenticatorアプリの欄にある「アプリの設定」をクリックします
  4. AuthenticatorアプリでQRコードをスキャンします
  5. Authenticatorアプリで表示された認証コードを入力します
  6. Authenticatorアプリが正しく登録されると画面上にポップアップが出てくるので、「Done」をクリックします
  7. 別の2つ目の要素を設定する」の「セキュリティーキー」の欄から「セキュリティーキーを追加」をクリックします
  8. セキュリティーキーの名前を入力したら、「次へ」をクリックします(FIDO2のみを有効にしていて、PINを設定している場合はここでPINの入力が求められます)
  9. USBポートにYubiKeyを挿入し、ボタンを押します
  10. セキュリティーキーが正しく登録されると画面上にポップアップが出てくるので、「Done」をクリックします

以上で1passwordとの連携の設定は完了です。

YubiKey FIDO2 のPINセットアップ

PIN登録

YubiKeyをFIDO2で利用する場合は、YubiKey ManagerのApplications - FIDO2画面でPIN設定して利用します。

  1. YubiKey Managerを開き、Applications >> FIDO2を選択します
  2. 「Set PIN」をクリックします
  3. New PINで新しく設定したいPIN、Confirm PINで新しく設定したいPINをもう一度入力し、右下の「Set PIN」をクリックします

以上でPIN登録は完了です。

PIN変更

YubiKeyをFIDO2でPIN変更する場合は、YubiKey ManagerのApplications - FIDO2画面でPIN設定して利用します。

  1. YubiKey Managerを開き、Applications >> FIDO2を選択します
  2. 「Change PIN」をクリックします
  3. Current PINで現在のPIN、New PINで新しく設定したいPIN、Confirm new PINで新しく設定したいPINをもう一度入力し、右下の「Change PIN」をクリックします

以上でPIN変更は完了です。

PINロック解除

デフォルトでは、連続して3回間違ったPINが入力されると、YubiKeyはデバイスロックされます。

画像のように「PIN authentication is currently blocked.Remove and re-insert your YubiKey」と表示されたら、YubiKeyをUSBポートから抜いて、再度挿入することでPINロックを解除することができます。デバイスPINは自分が覚えやすくまた推測されにくいことが重要です。

※上記 PIN変更 を参照

FIDO2のリセット(初期化)

YubiKeyをFIDO2をリセット場合は、YubiKey ManagerのApplications - FIDO2画面でPIN設定して利用します。

  1. YubiKey Managerを開き Applications ー FIDO2を選択します
  2. 「Reset FIDO」をクリックします
  3. 確認画面が表示されるので「YES」をクリックします
  4. 下記のような画面が表示されるので YubiKeyをUSBポートから抜いて、再度挿入します
  5. YubiKeyのボタンを押します
  6. リセットが完了したら画面下部に「FIDO applications have been reset」と表示されます

以上でFIDO2のリセットは完了です。

YubiKey NFC接続でのFIDO利用方法

YubiKeyを非接触NFCインターフェースで利用する場合のFIDO利用可否を一覧にします。USB接続であれば利用できるクラウドサービスも、NFC非接触NFCインターフェースで利用できないサービスもあります。

クラウドサービス FIDO2 USB接続 FIDO2 NFC接触 (Windows) FIDO2 NFC接触 (iPhone)
Google
1Password
Dropbox
Microsoft ×
Github
Twitter
OneLogin

(2020/12/01現在)

PCで利用するNFCリーダーのセットアップ

YubiKeyを非接触NFCインターフェースで利用するためには、Windows/macOS用のNFCリーダーを使用します。NFCリーダーを使用するにはデバイス専用のドライバーソフトをインストールする必要があります。

  • SONY RC-S380
  • IOデータ USB-NFC3

これら機種を例にリーダーセットアップ方法を解説します。

SONY RC-S380

SONY RC-S380はWindowsのみ対応しています。

ドライバーソフトのダウンロード

  1. https://sony.co.jp/pasori/ にアクセスし「ダウンロード」をクリックします
  2. 画面右側の「Windows用 アプリ・ソフトウェア一覧へ」をクリックします
  3. 「ダウンロードページへ」をクリックします
  4. NFCポートソフトウェア >> ダウンロードをクリックします
  5. 「ダウンロードしたNFCポートソフトウェアのアイコンをクリックします
  6. 画面の指示に従い、ソフトウェアをインストールします
    途中でコンピューターの再起動が求められるので、画面の指示に従って再起動してください

以上でSONY RC-S380のドライバーソフトのインストールは完了です。

USB-NFC3

USB-NFC3はWindowsにもMacにも対応していますが、FIDO利用は2020年12月時点ではWindowsに限られます。

ドライバーソフトのダウンロード

USB-NFC3はWindowsドライバーを取得して利用してください

SONY RC-S380はWindowsのみ対応しています。

  1. https://www.iodata.jp/p/231044/ にアクセスし ページ下部の「USB-NFC3 サポートソフト」をクリックします
  2. 使用OSを選択する画面が出てくるので利用OSを選択します
  3. OSを選択するとダウンロードボタンが表示されるので「ダウンロード」をクリックします
  4. ダウンロードした「usbnfc3_XXX.dmg」ファイルをダブルクリックして解凍します(XXXは数字)
  5. デスクトップ上にある「usbnfc3_XXX」フォルダーを開き「Setup」ファイルをダブルクリックします
  6. 画面の指示に従い、ソフトウェアをインストールします

以上でWindows環境でのUSB-NFC3のドライバーソフトのインストールは完了です。

iPhoneで利用するNFCセットアップ

YubiKeyをiPhone(iOS)で非接触NFCインターフェースで利用する場合は、iPhoneは標準でNFCインターフェースを搭載しており利用できますのでセットアップは不要です。

YubiKeyをiPhoneにかざす際は、iPhone裏面上部にYubiKeyデバイスを近づけ接触させると、非接触NFCインターフェースでデバイス利用ができます。非接触NFCインターフェースを持つiPhone機種は、iPhone7/ iPhone7 Plus 以降が対応しています。

クラウドサービス FIDO2 NFC (iPhone)
Google
1Password
Dropbox
Microsoft ×
Github
Twitter
OneLogin

(2020/12/01現在)

iPhoneで利用する FIDO利用方法

iPhoneにおいてFIDO U2Fの使用例として、Googleアカウントの二段階認証プロセスがあります。

iPhoneでFIDO U2Fを利用するGoogleアカウント認証の利用方法

二段階認証が求められたら、下記の画像のようにYubiKeyをiPhoneに近づけることで認証ができます。