web-dev-qa-db-ja.com

YubiKeyとは何ですか?

YubiKeysはどのように機能しますか?代替案はありますか?

これがその写真です: yubikey

57
Gabriel Fair

YubiKey には、YubiKey 4やYubiKey U2Fなど、さまざまなバリエーションがあります。すべてのYubiKeyはハードウェアトークンであり、USBポートに接続されています。ほとんどが誘導ボタンを備えており、1つのモデルには [〜#〜] nfc [〜#〜]YubiKey Neo )もあります。バリアントは、フォームファクターと サポートされる機能 の数に関して異なります。

YubiKey 4 はいくつかの機能を提供します:

一部の機能については、 SB HID デバイスとして表示されます。

マルチ機能のYubiKey 4の類似またはサブセットを提供する代替ソリューションがあります。たとえば、OpenPGP互換のチップカードと組み合わせたクラシックハードウェアチップカードリーダー(おそらくキーパッドを備えたもの)です。

YubiKey U2F は、U2Fデバイスのみです。つまり、Origin固有の公開/秘密キーペアを生成し、キーハンドルと公開キーを呼び出し元に返すことができるデバイスです。他の安価なU2Fデバイスと同様に、秘密キーは格納されず、対称的に暗号化され(内部キーで)、キーハンドルとして返されます。キーハンドルを使用して、U2fデバイスはチャレンジに署名できるため、多要素認証の一部として応答を作成できます。

U2Fはオープンスタンダードであるため(これもGoogleなどの企業によって推進されています)、利用可能な代替の安価なU2Fハードウェアトークンがいくつかあります( ' [〜#〜] fido [〜#〜] U2Fキーを検索してください')。

16
maxschlepzig

私が理解しているように、YubikeyはUSBキーボードのように動作します。コンピューターに接続し、フォームフィールドにカーソルを置き、Yubikeyのボタンを押すと、44文字を入力しているように、44文字のテキスト文字列がコンピューターに送信されます。コンピュータは、それを入力するか、それを生成するユビキーの違いを知りません。

Wordpress Yubikeyプラグインを備えたサイト、FirefoxのLastpassアドオンなどのWebサイト、またはYubikeyオプションを備えたその他のWebサイトには、ユーザー名、パスワード、およびYubikeyパスワードを含むログインフォームがあります。ユーザー名とパスワードを入力し、カーソルをYubikeyフィールドに置き、Yubikeyボタンを押すと、フィールドにYubikeyパスワードが入力されます。

次にフォームが送信され、YubikeyがYubicloudで検証されます。 Webサイトは、入力されたYubikeyパスワードが有効かどうかを確認します。 Yubikey自体はYubicloudに接続しません。これは、文字列を生成してキーボードのように機能するデバイスを生成するだけのデバイスであり、インターネットなど、そのキーボード以外には接続しません。

これらすべてが機能する前に、Yubikeyを使用するためにWebサイトのアカウントを更新する必要があります。つまり、キーをアカウントにリンクする必要があります。そうすることで、Yubicloudは生成されたコードをチェックし、アカウントに対して検証することができます。

もちろん、ウェブサイトはYubikey機能を実装する必要があります。この機能は、ウェブサイトの所有者向けの無料サービスとして利用できます。

Yubikeyが紛失した場合、Webサイトがアカウントを回復し、Yubikeyを無効にするために必要な通常の回復方法を使用できます。通常、これは電子メールでパスワード回復リンクを取得し、そのリンクがアカウントのYubikey機能を無効にすることを意味します。

この答えが正しいかどうかを確認するために、Yubikeyサポートにメールを送りました。彼らは、この説明は正しいと言いましたが、キーが機能する方法の一部しか説明していませんでした。

ここでの他の答えは、実際の説明はありません。 Linuxjournalの記事でさえ、このように説明されていません。受け入れられた答えはブラックボックスの答えを与えます-私がこのページを開いたときに私が探していたものではありません。この回答がより良い説明を提供し、それを書くことでYubikeyをよりよく理解できたことを願っています。

39
SPRBRN

私が持っているので、お勧めします。私は実際にBSidesLondonに参加していたときに、ユビコの連中から無料で手に入れました。

RSAセキュアキーと考えてください。ただし、はるかに小さく、安価で、バッテリーなしです。 YubiKeyはRSAのものよりもかなり大きなキースペースを持っていますが、(本質的に)同じセキュリティが得られます。また、非常に頑丈で、損傷することなく完全に水に浸すことができます。

これが私のものです:

YubiKey

これは広告のように聞こえますが、本当に素晴らしいです。これらのセキュアキーの束を持ち歩くのに比べて、キーリングではほとんど気付かれません。

動作については、Yubicoが実行するクラウドサービスに対して検証し、2要素認証を提供します。すべてのサーバーソフトウェアはオープンソースであり、独自の認証サーバーを実行できます。それは完全に透明です。

website で詳細を調べてください。技術情報や説明がたくさんあります。

19
Polynomial

こちらをご覧ください http://www.linuxjournal.com/magazine/yubikey-one-time-password-authentication

次の抜粋は、以前にリンクされた記事の著者であるDirk Merkelによって書かれました。

デバイスのボタンを押すたびに、ワンタイムパスワードが生成され、キーボードで入力した場合と同じようにホストマシンに送信されます。このパスワードは、サービスでユーザーとして認証するために使用できます。

ここでは取り上げるには多すぎるので、5ページの記事を読むことをお勧めします。

10
Lucas Kauffman

私が理解しているところによると、ワンタイムパスワードは、タイムスタンプ(キーがコンピューターに存在していた時間)、Yubikeyセッションスタンプ(コンピューターにプラグインした回数)など、いくつかの異なる情報で構成されています)、ランダム化された特別なコード、パスワードを生成した回数などのスタンプ。暗号化します。次に、その特定のYubikeyに割り当てられた特別なコードを叩き、そのコードを再度暗号化します。次に、それはYubikey自身に送信され(彼らはすべての特別なコードを知っているため)、キーが正しいこと、および何であってもそれらを確認します。次に、Googleのように、サインインしようとしている人に、あなたが適切な人物であることを伝え、Googleが許可します。

文字列やパスワードをデバイスに保存し、クリックするとパスワードが表示されるなど、他の機能もあります。かなり簡単です。

1