web-dev-qa-db-ja.com

YubiKeyでバックアップされたTOTP認証をバックアップするにはどうすればよいですか?

私は YubiKey 5 NFC を今週購入し、2FAとU2Fを使い始めましたが、アクセスを失うという考えに対して致命的なアレルギーがあります。

U2Fアクセスをバックアップするために、2番目のU2Fトークン(おそらくこの質問への回答によってはYubiKey)を購入し、それをすべてのサービスに登録します。しかし、YubiKeyでバックアップされたTOTPベースの認証コードをすべてバックアップする方法がわかりません。これらすべてのサービスのリカバリコードがありますが、2つ目のTOTP生成メカニズムが必要です。

YubiKeyを利用したTOTPは電話に依存しないというタイトルの記事 SSH、ログイン、2FA、GPG、Git署名用のYubiKey を読みました。

YubiKeyに2FAコードをシードすることの非常に優れた(そして最初は不明確)利点の1つは、YubiKeyがあれば、どの電話でも2FAコードを生成できることです。

私は過去に電話をリモートロックしてリモート消去する必要がありましたが、Google認証システムの設定を失うのは楽しいものではありません。 YubiKeyを慎重に扱っていれば、もうそのような問題はないはずです。

しかし、これがどのように機能するかはわかりません。さらに、電話を紛失した場合も同様ですが、YubiKeyは紛失しました。

だから私の質問は2つあります:

  1. スマートフォンを紛失した場合、同じTOTPトークンを使用できるようにするにはどうすればよいですか?つまり、nサービスのTOTP認証でシードされたYubiKeyがある場合、新しい電話にYubico Authenticatorをインストールし、YubiKeyを新しい電話のNFC =アンテナは同じTOTPトークンを生成しますか?そうでない場合、新しい電話でそれらにどのようにアクセスしますか?
  2. 最初のYubiKeyを紛失した場合に備えて、2番目のYubiKeyでTOTP認証を確実にバックアップするにはどうすればよいですか?つまり、2要素認証管理画面に移動してRegister New Deviceをクリックするだけで、2番目のYubiKeyをGitHubなどに簡単に登録できますが、2番目の認証アプリを登録する明確な方法はありません。これは、YubiKeyのTOTPパスワードを登録した方法です。私は読んだ YubicoのWebサイトで 「プログラミング時にシークレット(またはQRコード)をバックアップする場合、後で同じシークレットを2番目のYubiKeyにプログラムできます。最初。" Yubico Authenticatorアプリでの2FA登録時にこれを実行できますか?つまり、2つのYubiKeyを同じ2FA QRコードで同時に登録しますか?
2
malan

サイトでTOTPを設定する場合、共有シークレットが提供されます。

  1. Yubico AuthenticatorはYubikeyを使用してその情報を保存します。キーが存在する限り、Yubico Authenticatorのすべてのインスタンスは交換可能です。

  2. ほとんどのサイトは1つのシークレットのみを共有しますが、そのシークレットは自由に更新できます。 「新しいオーセンティケーター」をサイトに登録するとき、完了をサイトに通知する前に、その秘密を複数のキー/オーセンティケーターに設定できます。

2
tjd

OTPトークンを使用するユーザーは、複数のトークンソース(少なくとも2つ)を構成して、安全なバックアップを作成できるようにする必要がありますが、すべてを構成できるわけではありません。すべての場所で2つの認証アプリを登録できる場合は、各YubiKeyに1つ登録するだけです(バックアップにも5を使用することをお勧めします。これにより、それをサポートするサイトですべてのサイトでFIDO2を使用できます。 FIDO/FIDO2をサポートすると、複数のトークンを登録できます)。

2番目のトークンを登録できないサイトについては、別の方法をとります。 LastPass Authenticatorアプリを使用してTOTPコードを保存しています。 LastPass Authenticatorを使用することのボーナスは、TOTPシークレットがLastPass金庫に保存されることです(そのため、電話/コンピューターを紛失しても回復できます)。そして、LastPassはYubiKeysであなたのアカウントを保護することを可能にします。したがって、LastPassオーセンティケーターを起動し、2FAを実行して(パスワードとYubiKey)、次にTOTPを使用してWebサイトへの認証を行います。

YubiKey NFCを使用していて、お使いの携帯電話がNFCをサポートしている場合でも、Yubi Authenticatorと実質的に同じ方法で使用できます。違いは、秘密鍵がLastPassに保存されていることです。ボールトとYubi-OTP(どちらかのキーから)を使用してロックを解除します;個々のYubiスティックにロードされるすべての秘密キーとは対照的です。

2
Ruscal