YubiKey 5 Nano を試してみた

ハードウェアトークンが面白そうだったなぁとおもっていたのと、ちょうど YubiKey 5 Nano がリリースされたので、はじめてのハードウェアトークンを買ってみました。

何ができるの?

OAuthの時間ベースのワンタイムパスワードの生成、静的パスワードの入力、FIDO2認証ができます。

何ができるのかこちらの記事が参考になります。
medium.com


GitHub でログインするときはこんな感じ。
Insert your security key のところで待っている状態になるので、キーに触れるだけでサインインが進みます。

f:id:mitsuki0820:20190117231949g:plain

OTPの生成は、Yubico Authenticator をインストールして使います。こんな感じ。
f:id:mitsuki0820:20190117232228p:plain

どんなハードウェア?

こんな感じでパッケージングされています。

f:id:mitsuki0820:20190117232828p:plain

大きさはキーボートの幅くらい。
f:id:mitsuki0820:20190117232939p:plain

USB ポートに指すとこんな感じ。持ち運ぶ時もそのまま挿しておけます。ただノートPCだとUSBポート1つ潰れてしまうのは痛いところです。あとストラップをつけないと取るのが厳しい。。
f:id:mitsuki0820:20190117233005p:plain

どこで買えるの?

まだ Amazon にもなさそうだったので、yubico のオンラインショップで買いました。

www.yubico.com

$50 とありますが、配送料が $5 掛かります。また、UPS にすると、+$75もされるので、よっぽど急ぎでなければ $5 で十分です。通常の配送でも、5日くらいできたと思います。
f:id:mitsuki0820:20190117225234p:plain

使えるサイトは?

自分が普段使っているサイトをまとめてみました。

サイト FIDO2対応 複数デバイス登録可 対応しているブラウザ
GitHub Chromeのみ
1Password ×(TOTPのみ) × -
Azure AD(Not MSA) ×(TOTPのみ) -
Microsoft Account Edgeのみ
twitter Chromeのみ
facebook Chromeのみ
Google Chromeのみ
bitFlyer ×(TOTPのみ) × -
Adobe ×(TOTPのみ) × -

複数デバイス登録ができないサイトは、一度既存の MFA 設定を削除し、再度登録する必要があります。
その時、iPhone の Authenticator と Yubico Authenticator に両方登録すると、同じ OTP が生成されます

ブラウザは、ほとんど Chrome です。対応していないブラウザでログインしようとすると、OTP を求められることになります。
これを機に Chrome に乗り換えようと思います。。早く各ブラウザで対応してくれないかなぁ。。。
あとは、Azure AD 早めに対応してほしいところ。

まとめ

普段、会社の環境も Windows Hello for Business でシングルサインオンできるのと、そもそもどのサイトもサインインしてしまえば、ほとんどサインインを求められることがないので、そこまで便利になった感じはしないのですが、たまに必要になったときに地味に便利かなぁと思いました。
あとは、iPhone に依存しなくなるとか、YubiKey を持ち歩いて、他のPCに挿せば( Authenticator のインストールは必要ですが)ログインが簡単になるかなというところでしょうか。PC 入れ替えの時とかは早そうです。

ということで、QOL が 5 % くらい上がった感じのするデバイスでした。