YubiKey USB接続でのFIDO利用方法

FIDOの接続方法として、USB接続とNFC接続があります。
クラウドサービスの種類によって、USB接続、NFC接続どちらに対応しているか異なります。USB接続、NFC接続の対応サービスは下記の表のようになります。

クラウドサービス FIDO2 USB接続 FIDO2 NFC接触 (Windows) FIDO2 NFC接触 (iPhone)
Google
1Password
Dropbox
Microsoft ×
Github
Twitter
OneLogin

△…Microsoft EdgeだとNFC接続できませんが、ChromeだとNFC接続できます。
(2020/12/01現在)

YubiKeyのFIDO2とFIDO U2F
有効化/無効化の設定方法

クラウドサービスによって FIDO2、FIDO U2Fどちらが対応しているか異なります。そのため使い方に応じてFIDO2とFIDO U2Fを有効化する必要があります。

YubiKey ManagerのInterfaces設定からでFIDO2、FIDO U2Fそれぞれの有効化、無効化ができます。Default = 有効 となっています。

インターフェース設定画面

クラウドサービスごとのFIDO2、FIDO U2F対応は次のようになります。GoogleはU2Fに対応、MicrosoftはFIDO2に対応と違いがあります。
FIDO U2F、FIDO2どちらにも対応しているサービスの場合の選択方法は、FIDO U2F = PIN不要でデバイス認証したい場合、FIDO2 = PIN入力をして自分だけがデバイス認証を利用できるようにしたい場合に、それを選ぶ方法が分かりやすい選択です。

クラウドサービス FIDO2 FIDO2 U2F
Google ×
1Password
Dropbox
Microsoft ×
Github
Twitter

(2020/12/01現在)

FIDO U2F 利用方法

YubiKeyをFIDO U2Fで利用する場合はPIN操作はありません。PINを入力せずに認証ができます。FIDO U2Fの使用例として、Googleアカウントの二段階認証プロセスがあります。

FIDO U2Fを利用するGoogleアカウント認証の利用方法

  1. Google アカウントにログインします
  2. アカウント管理に移動します
  3. セキュリティの項目から下へスクロールし、「2段階認証プロセス」を選択します
  4. 2段階認証プロセス画面で「使ってみる」をクリックします
  5. 「他のオプションを表示」をクリックします
  6. セキュリティ キー」を選択します
  7. 登録するYubiKeyを準備できたら、右下の「次へ」をクリックします
  8. PCのUSBポートにYubiKeyを挿してタッチをします
  9. YubiKeyの登録が完了すると、「セキュリティ キー名」を入力し右下の「完了」をクリックします
  10. 「セキュリティ キー名」の入力が完了すると、画面表示が変わります

以上でGoogleアカウントとの連携の設定は完了です。

FIDO2 (WebAuthn) 利用方法

YubiKeyをFIDO2で利用する場合はPINを設定することができます。YubiKey ManagerのInterface設定画面でFIDO2を有効にします。Change FIDO2 PIN画面でをPIN設定しておくと、サービス認証する際にPIN入力を求められるようになります。
一般ユーザーはPINを設定すること無く利用することに心配は少ないですが、管理者など権限が強いユーザーはYubiKeyにPINを設定することをお勧めします。

FIDO2を利用する1Passwordアカウント認証の利用方法

YubiKeyをFIDO2で利用サンプルとして1Passwordアカウント認証の利用方法を説明します。1PasswordではFIDO2でもFIDO U2Fでも使用できますがFIDO2を有効にした場合PINの入力が必要です。
PIN入力の有無は次の表のようになっています。

FIDO2 FIDO U2F PIN入力
不要
× 不要
× PINを設定していれば必要
  1. 1Passwordにログインして、右側のアカウントのタブから「マイプロフィール」を開きます
  2. 左側にある「その他のアクション」から「2要素認証の管理」を開きます
    1Passwordで2要素認証にYubiKeyを登録するには、Authenticatorアプリを登録しておく必要があります
  3. Authenticatorアプリの欄にある「アプリの設定」をクリックします
  4. AuthenticatorアプリでQRコードをスキャンします
  5. Authenticatorアプリで表示された認証コードを入力します
  6. Authenticatorアプリが正しく登録されると画面上にポップアップが出てくるので、「Done」をクリックします
  7. 別の2つ目の要素を設定する」の「セキュリティーキー」の欄から「セキュリティーキーを追加」をクリックします
  8. セキュリティーキーの名前を入力したら、「次へ」をクリックします(FIDO2のみを有効にしていて、PINを設定している場合はここでPINの入力が求められます)
  9. USBポートにYubiKeyを挿入し、ボタンを押します
  10. セキュリティーキーが正しく登録されると画面上にポップアップが出てくるので、「Done」をクリックします

以上で1passwordとの連携の設定は完了です。

WebAuthnを利用するOneLoginアカウント設定方法

  1. まず初めに、お使いのOneLogin環境へ移動します
  2. ご自身のOneLoginアカウントのユーザー名とパスワードを入力し、「続行する」をクリックします
  3. 次のような表示が出た場合、2要素認証の設定が必要となりますので、「セットアップを始める」をクリックします(この画面は、管理者がOTP認証を必須に設定している場合に表示されます)
  4. WebAuthnのポップアップが表示されます。YubiKeyを使うので、オプションの「USB セキュリティ キー」をクリックします
  5. セキュリティキーの挿入が要求されるので、お使いのYubiKeyセキュリティキーをPCに接続します。
  6. 接続後、セキュリティキーのボタンを押して、設定は完了です

以上の設定により、OneLoginアカウントのOTP認証が設定されます。

OneLoginアカウントにWebAuthnが適用されているかの確認方法

実際にOTP認証(WebAuthn)が適用されているかどうか、プロフィールページから確認することができます。

  1. OneLoginアカウントにログイン後、右上のユーザーアイコンからプロフィールへ移動します
  2. プロフィールページへ移動し、画面左側の一覧にある「セキュリティ要素」をクリックします
  3. ファクタにWebAuthnが表示されていることを確認してください

以上でOneLoginアカウントにWebAuthnが適用されているかの確認作業は完了です。

YubiKey FIDO2 のPINセットアップ

PIN登録

YubiKeyをFIDO2で利用する場合は、YubiKey ManagerのApplications - FIDO2画面でPIN設定して利用します。

  1. YubiKey Managerを開き、Applications >> FIDO2を選択します
  2. 「Set PIN」をクリックします
  3. New PINで新しく設定したいPIN、Confirm PINで新しく設定したいPINをもう一度入力し、右下の「Set PIN」をクリックします

以上でPIN登録は完了です。

PIN変更

YubiKeyをFIDO2でPIN変更する場合は、YubiKey ManagerのApplications - FIDO2画面でPIN設定して利用します。

  1. YubiKey Managerを開き、Applications >> FIDO2を選択します
  2. 「Change PIN」をクリックします
  3. Current PINで現在のPIN、New PINで新しく設定したいPIN、Confirm new PINで新しく設定したいPINをもう一度入力し、右下の「Change PIN」をクリックします

以上でPIN変更は完了です。

PINロック解除

デフォルトでは、連続して3回間違ったPINが入力されると、YubiKeyはデバイスロックされます。

画像のように「PIN authentication is currently blocked.Remove and re-insert your YubiKey」と表示されたら、YubiKeyをUSBポートから抜いて、再度挿入することでPINロックを解除することができます。デバイスPINは自分が覚えやすくまた推測されにくいことが重要です。

※上記 PIN変更 を参照

FIDO2のリセット(初期化)

YubiKeyをFIDO2をリセット場合は、YubiKey ManagerのApplications - FIDO2画面でPIN設定して利用します。

  1. YubiKey Managerを開き Applications ー FIDO2を選択します
  2. 「Reset FIDO」をクリックします
  3. 確認画面が表示されるので「YES」をクリックします
  4. 下記のような画面が表示されるので YubiKeyをUSBポートから抜いて、再度挿入します
  5. YubiKeyのボタンを押します
  6. リセットが完了したら画面下部に「FIDO applications have been reset」と表示されます

以上でFIDO2のリセットは完了です。

YubiKey NFC接続でのFIDO利用方法

YubiKeyを非接触NFCインターフェースで利用する場合のFIDO利用可否を一覧にします。USB接続であれば利用できるクラウドサービスも、NFC非接触NFCインターフェースで利用できないサービスもあります。

クラウドサービス FIDO2 USB接続 FIDO2 NFC接触 (Windows) FIDO2 NFC接触 (iPhone)
Google
1Password
Dropbox
Microsoft ×
Github
Twitter
OneLogin

(2020/12/01現在)

PCで利用するNFCリーダーのセットアップ

YubiKeyを非接触NFCインターフェースで利用するためには、Windows/macOS用のNFCリーダーを使用します。NFCリーダーを使用するにはデバイス専用のドライバーソフトをインストールする必要があります。

  • SONY RC-S380
  • IOデータ USB-NFC3

これら機種を例にリーダーセットアップ方法を解説します。

SONY RC-S380

SONY RC-S380はWindowsのみ対応しています。

ドライバーソフトのダウンロード

  1. https://sony.co.jp/pasori/ にアクセスし「ダウンロード」をクリックします
  2. 画面右側の「Windows用 アプリ・ソフトウェア一覧へ」をクリックします
  3. 「ダウンロードページへ」をクリックします
  4. NFCポートソフトウェア >> ダウンロードをクリックします
  5. 「ダウンロードしたNFCポートソフトウェアのアイコンをクリックします
  6. 画面の指示に従い、ソフトウェアをインストールします
    途中でコンピューターの再起動が求められるので、画面の指示に従って再起動してください

以上でSONY RC-S380のドライバーソフトのインストールは完了です。

USB-NFC3

USB-NFC3はWindowsにもMacにも対応していますが、FIDO利用は2020年12月時点ではWindowsに限られます。

ドライバーソフトのダウンロード

USB-NFC3はWindowsドライバーを取得して利用してください

SONY RC-S380はWindowsのみ対応しています。

  1. https://www.iodata.jp/p/231044/ にアクセスし ページ下部の「USB-NFC3 サポートソフト」をクリックします
  2. 使用OSを選択する画面が出てくるので利用OSを選択します
  3. OSを選択するとダウンロードボタンが表示されるので「ダウンロード」をクリックします
  4. ダウンロードした「usbnfc3_XXX.dmg」ファイルをダブルクリックして解凍します(XXXは数字)
  5. デスクトップ上にある「usbnfc3_XXX」フォルダーを開き「Setup」ファイルをダブルクリックします
  6. 画面の指示に従い、ソフトウェアをインストールします

以上でWindows環境でのUSB-NFC3のドライバーソフトのインストールは完了です。

iPhoneで利用するNFCセットアップ

YubiKeyをiPhone(iOS)で非接触NFCインターフェースで利用する場合は、iPhoneは標準でNFCインターフェースを搭載しており利用できますのでセットアップは不要です。

YubiKeyをiPhoneにかざす際は、iPhone裏面上部にYubiKeyデバイスを近づけ接触させると、非接触NFCインターフェースでデバイス利用ができます。非接触NFCインターフェースを持つiPhone機種は、iPhone7/ iPhone7 Plus 以降が対応しています。

クラウドサービス FIDO2 NFC (iPhone)
Google
1Password
Dropbox
Microsoft ×
Github
Twitter
OneLogin

(2020/12/01現在)

iPhoneで利用する FIDO利用方法

iPhoneにおいてFIDO U2Fの使用例として、Googleアカウントの二段階認証プロセスがあります。

iPhoneでFIDO U2Fを利用するGoogleアカウント認証の利用方法

二段階認証が求められたら、下記の画像のようにYubiKeyをiPhoneに近づけることで認証ができます。

ykmanコマンド集

YubiKey Managerで行っていた設定をコマンドラインで行うことができます。

ykmanの環境設定

Mac

ターミナルを開いて、「brew install ykman」と入力するとコマンドラインツールがインストールされてコマンドラインでYubiKeyの設定を行えるようになります。

Windows

Windows環境では、YubiKey Managerをインストールすると、一緒にコマンドラインツールもインストールされています。Windowsのコマンド環境を管理者として開いて、C:\Program Files\Yubico\YubiKey Manager> にディレクトリを移動することでコマンドラインでYubiKeyの設定を行えます。

こちらのコマンド集ではWindowsでのコマンドと実行結果を紹介しますが、MacでもWindowsでもコマンドと実行結果は同じです。

  • アプリの有効化(例:USB接続で「FIDO2」を有効にする)
    > ykman config usb -e FIDO2
    Enable FIDO2.
    Configure USB interface? [y/N]: y
  • アプリの無効化(例:NFC接続で「FIDO U2F」を無効にする)
  • > ykman config nfc -d U2F
    Disable FIDO U2F.
    Configure NFC interface? [y/N]: y
  • PINを登録(例:PINを「123456」に設定)
  • > ykman fido set-pin -n123456

    <動作結果表示なし>

  • PINの変更(例:PINを「123456」から「135791」に変更)
  • > ykman fido set-pin -P123456 -n135791

    <動作結果表示なし>

  • PINが設定されているかの確認(PINが設定されている場合)
  • > ykman fido info
    PIN is set, with 8 tries left.
  • PINが設定されているかの確認(PINが設定されていない場合)
  • > ykman fido info
    PIN is not set.
  • リセット(初期化)(YubiKey Manager同様にUSBポートからYubiKeyを抜いて、再度挿入することでFIDOをリセットできます)
  • > ykman fido reset
    WARNING! This will delete all FIDO credentials, including FIDO U2F credentials, and restore
    factory settings. Proceed? [y/N]: y
    Remove and re-insert your YubiKey to perform the reset...
    Touch your YubiKey...

その他のコマンドについてはこちらをご覧ください