昨今、Windowsログオンの認証にYubiKeyを使用し、二要素認証でセキュリティを強化したい、という要望は増加しつつありますが、そのような要望に対して、弊社には「YubiOn Portal」や「YubiOn WindowsLogon Standalone」などさまざまなサービスがあります。
弊社サービス以外に、YubiKeyを製造しているYubico社にも「Yubico Login for Windows」(以下「Yubico Login」)という無料で使用できるWindows認証ツールがあります。Windowsローカルアカウントに対して、YubiKeyを使用してWindowsにログオンすることが可能となっているようです。
今回は、弊社のオフラインWindows認証サービス「YubiOn WindowsLogon Standalone」との類似点・相違点も同時に挙げつつ、この「Yubico Login」ツールがどのようなものか実際に使ってみた使用感をお伝えしたいと思います。
■実験環境
今回は以下のような環境で試しました。
OS:Windows11
認証デバイス:YubiKey 5 Series
アカウント:Windowsローカルアカウント(管理者)
「Yubico Login」はWindowsローカルアカウントのみをサポートしています。
Point: 「YubiOn WindowsLogon Standalone」はWindowsローカルアカウントの他、Active DirectoryアカウントやMicrosoftアカウントにも対応しています。 |
■導入
インストーラを入手し、インストールを行います。
ちなみにインストーラやこの後に紹介する設定ツールはすべて英語で表示されます。
インストール後、「Yes」をクリックし、OSの再起動を行います。
OSの再起動時、ログオン画面で「Yubico Login」が表示されますが、YubiKeyの割り当てを行うまではユーザー名とパスワードだけでログオンできるようです。
一度ログオンして、設定ツールを起動し、ユーザーとYubiKeyの登録作業を行います。
登録の際の注意点としては、チャレンジレスポンスを利用した認証であるため、YubiKeyのスロットが書き換えられます(デフォルトではSlot2が使用されます)。
そのため、書き換えられても良いYubiKeyを使用することをおすすめします。
最初に設定方法を聞かれます。
「Express」の方はお手軽設定、「Advanced」の方は詳細設定ができるみたいです。
「Advanced」を選択した場合、リカバリコードの生成やバックアップ用デバイスの作成を行うかどうかの設定できるようですが、今回は特に変更しないため、「Express」を選択しました。
YubiKeyを挿すように言われるので、登録したいYubiKeyをUSBポートに挿します。
YubiKeyのシリアルナンバーやスロットの構成ステータスが表示されます。
で、「Next」をクリックすれば、
YubiKeyの登録作業が終了しました。
この後、バックアップ用として2本目のYubiKeyも同様に抜き差しを行い、登録します。
(今回は1本目と同じYubiKeyを登録しました)
最後に、緊急時のリカバリコードが表示されます。
リカバリコードは、登録したYubiKeyを紛失した場合などに、ログオン画面でコードを手入力することでYubiKeyなしでもログオンできる機能になります。
次に進むと取得できなくなりますので、このタイミングで保存しておくことをおすすめします。
これで登録作業は終了です。
■認証
では、実際に認証を試してみます。
認証方法はシンプルです。
まず、Windows起動時のログオン画面で、「Yubico Login」が表示されます。
基本的に、ユーザーは選択形式ではなく、入力形式になっています。
YubiKeyが挿さっていない状態でログオンしようとするとエラーメッセージが表示されます。
割り当てられていないYubiKeyが挿さっている場合も正しいYubiKeyの装着が求められます。
正しいYubiKeyを装着した状態で、ユーザー名とパスワードを入力します。
認証が成功すればそのままログオンできます。
比較的かんたんに、YubiKeyを使用した二要素認証が実現できました。
ちなみに「Yubico Login」はログオン時、YubiKeyへのタッチは不要です(設定によります)。
Point: 「YubiOn WindowsLogon Standalone」はログオン時、OTPを要するためYubiKeyへのタッチが必要です。 |
Windows Helloで始まるWindowsサインインオプション(例: Windows Hello PIN)などを使用すると、「Yubico Login」でキーの設定をしていてもユーザーはYubiKeyなしでログオンできるようです。
「Yubico Login」で保護されているアカウントでは、Windows Helloなどを無効にしておいた方が良さそうです。
■特徴
その他の特徴は以下の通り。
◯YubiKeyの割り当てに関して
「Yubico Login」は、YubiKeyの割り当ても比較的自由に行えます。
複数のローカルアカウントに対して、別々のYubiKeyを割り当て:可能
1つのYubiKeyを複数のローカルアカウントに割り当て:可能
1つのローカルアカウントに複数のYubiKeyを割り当て:可能
Point: 「YubiOn WindowsLogon Standalone」もすべて可能です。 |
◯YubiKeyを紛失した場合
YubiKey割り当て時に発行されるリカバリコードを入力することにより、YubiKeyなしでログオンすることが可能です。ただこのリカバリコードは文字数が多く、ログオン画面で手入力しなければならないため、結構大変です。
YubiKey紛失時に備え、バックアップ用のYubiKeyは登録しておいた方が良さそうです。
Point: 「YubiOn WindowsLogon Standalone」にはマスターキーという機能が存在します。 |
なお、セーフモードで起動した場合は「Yubico Login」を介さずにログオンできてしまいます。
Point: 「YubiOn WindowsLogon Standalone」はセーフモードでも二要素認証が求められます。 |
◯二要素の強制について
Windows Hello PINなどのWindwos Helloのサインインオプションを有効にしている場合は、YubiKeyなしでもWindows Helloでログオンできてしまいます。二要素認証を強制したい場合は、これらのサインインオプション設定を無効にしておく必要があります。
Point: 「YubiOn WindowsLogon Standalone」にはセキュアモードという機能があり、オン/オフでYubiKeyによる二要素認証の強制かそれ以外のサインインオプションの利用の許可を切り替えることが可能となっています。 |
■さいごに
「Yubico Login for Windows」を使用してみた感じ、比較的かんたんに二要素認証を実現できることが確認できました。Windowsローカルアカウントのみという制限がありますが、セキュリティ要件を満たすためにログオン時の二要素認証を導入したいという方向けのサービスだと感じました。
ただ、Windowsローカルアカウントのみという制限がある上、Windows Helloのサインインオプションを利用していたり、セーフモードで起動した場合は、「Yubico Login」を介さずにログオンできてしまうというセキュリティ的には少し緩い部分もありました。
弊社サービス「YubiOn WindowsLogon Standalone」はよりセキュリティの高いサービスとなっており、「Yubico Login」で満足できない部分も補えると思います。
Windowsの二要素認証に関しまして、より高いセキュリティサービスにご興味を持たれた方はぜひご検討ください。
■参考
[Yubico Login for Windows 構成ガイド]
[YubiOn WindowsLogon Standalone]
[YubiOn Portal]