セキュリティキーをかった。

契機

最近課金情報にがんじがらめになった重要なアカウントが増えてきてしまった。そして、世の中ではいろんなサービス運営者があたりまえのようにパスワードを流出させ、それによって今まで安全だったパスワードが安全でなくなってきた。つまり、「俺自身がパスワードをちゃんと管理していても、俺が使っているサービスの運営者もパスワードをちゃんと管理するとは限らない」というあたりまえの事実を認識するようになった。

アクション

ということで、セキュリティーを買った。YubiKey 5 NFC。なぜなら、現状最も安全性が高いとされているのは、パスワードとセキュリティキーの2段階認証を用いた方法だから。

実践と普及度

届いてすぐ、セキュリティキーによる2段階認証をアカウントに登録した。他にもセキュリティキーを使えるサービスがあるか調べてみたが、意外と少なかった。セキュリティ系のサービスと超巨大サービスは対応しているものがほとんどだったが、それ以外のほとんどは、アプリを用いたワンタイムパスワードによる2段階認証だった。

しかし、一度2段階認証したら次は入力しないように設定できるのだが、それはセキュリティとしてはよろしくないのでは。。可用性を考慮した結果なのかもしれないが、パスワード入力をやめて、セキュリティキーのみで行えるようにするとかではダメなのだろうか。

実運用

セキュリティキーをみてると、これはどうやって運用するのか非常に悩ましい。「物理キーがないとログインできない」という強力な保護機能のかわりに、「物理キーをなくすとどうしようもない」というやばさも併せ持つ。大体のサービスは物理キーがないいざというとき用のバックアップキーというのを発行し、バックアップキーでログインする選択肢を用意してる。が、現実的には、物理キーをなくした場合何もできなくなることを恐れて、複数の物理キーを用意し、使い分けるのが一番バランスの取れた方法のような気がする。どうするかな。。