2024/01/28

Windows Helloとセキュリティキー

以前 Google Pixel を購入したときに Google Store ポイントをもらっていて、それがあと数ヶ月で期限切れになりそうだった。
せっかくなので何か購入しておこうと思ったのだが、使えるのが Google Store だけのためポイントだけで購入できるものは少ない。まあ、おまけでポイントをもらっただけなのでぜいたくは言えない。

私が持っていなくて、合って面白そうだなと思ったのがセキュリティキーだった。

Titan Security Key - FIDO2 USB-A/USB-C + NFC
https://store.google.com/product/titan_security_key?hl=ja

以前のバージョンは単なる FIDO だったが、最近更新されて FIDO2 対応になっている(対応、という呼び名が正しいかどうかわからんが...)。

最大250種類のパスキーの保存が可能なGoogle Titan セキュリティ キーを使ってパスキー認証してみた - GIGAZINE
https://gigazine.net/news/20231219-google-titan-security-pass-key/

PIN を求められるが、これはGoogle ログインのときの PIN だと思ったのだが、ダイアログが「Windowsセキュリティ」だから各デバイスで管理するのかもしれん。
キーの金属部にタッチする必要があるが、これは指紋認証ではなく単にタッチするだけだ。

FIDO2 になったので Windows のアカウントや Windows11 のログインに使うことができる。

 

Windows11 のアカウント画面を見てみると、セキュリティキーのログインは Windows Hello ではないことになっている。

image

そもそも Windows Hello って何よ?

Windows Hello の概要とセットアップ - Microsoft サポート
https://support.microsoft.com/ja-jp/windows/windows-hello-%E3%81%AE%E6%A6%82%E8%A6%81%E3%81%A8%E3%82%BB%E3%83%83%E3%83%88%E3%82%A2%E3%83%83%E3%83%97-dae28983-8242-bb2a-d3d1-87c9d265a5f0#WindowsVersion=Windows_11

Windows Hello は、PIN、顔認識、または指紋を使って Windows 11 デバイスにすばやくアクセスできる、よりプライベートで安全な方法です。 指紋または顔認識によるサインインの設定の一部として PIN を設定する必要がありますが、PIN だけでサインインすることもできます。

これらのオプションは、PIN が 1 つのデバイスにのみ関連付けられており、Microsoft アカウントで回復するためにバックアップされるため、PC へのサインインをより簡単かつ安全にするのに役立ちます。

だそうだ。

PIN はキャッシュカードの暗証番号のようなもので、ネットワークなどに流したりせずに使うものという認識である。
ここの説明では「Windows11デバイスに」とあるので、その Windows11 デバイスに PIN を設定しているのだろう。顔認証や指紋でログインできるのは、それらと PIN を結びつけているためか。

紛らわしくなるのは、Windows アカウント(ネットの方)も Windows Hello などでログインできるところだ。

image

覚えていないのだけど、たぶん Microsoft アカウントにログインしたときに Windows Hello と結びつけたのだろう。
Microsoft アカウントのところではこういう選択肢があった。

image

こんな感じでセキュリティキーでのログインも可能になった。

しかし、こうやってログイン方式を追加するだけだと、ログインできるルートが増えて危険度が高くなったことにならないだろうか。かといって、認証アプリを使う方式だとアプリが使えなくなったら困るし、セキュリティキーを使う場合も紛失があったら困るし、減らすのも難しい。

セキュリティキーを使う場合は2つ登録しておいて、1つ紛失してももう片方でアクセスできるようにするのが望ましい、というのをどこかで読んだ気がする。つまり、セキュリティキー以外ではログインできないようにしておくということなのだろう。

キーでのログインしかできないようにした場合、気にするのはこの辺だろうか。

  • キーを紛失した
    • 複数にして、無くしたと分かったらもう片方でログインして片方でのログインを禁止する。
  • キーを紛失してログインされた
    • 犯人は身近にしかいないはず??
  • その代わり、キーが一度も手元から離れていないなら心配することはない?
    • 「外部からログインできないようになっている」という場合以外は、条件さえ整えば外部からログインできるはずなのだ。
    • 生体認証も、何らかの方法で「生体」を使うことができるなら突破できるはずだ。
    • 結局のところ、ログインの突破を規定回数以内に成功しなかったらアカウントをロックする以外に方法が無いような気がする。

 

あーもー。

セキュリティはイタチごっこだとよく言われる。
が、イタチごっこってそもそもなによ?

いたちごっこ - Wikipedia
https://ja.wikipedia.org/wiki/%E3%81%84%E3%81%9F%E3%81%A1%E3%81%94%E3%81%A3%E3%81%93

ずいずいずっころばしとも違うのか。

ともかく、外部からログインできるようになっていて、破ることができないログインシステムは存在しないはずだ。ログインできるようになっているのだから、破ろうと破るまいと手続きが正当であればログインできるのだから。

そういうシステムなのに、その人しかログインできないようになっている場合、それはその人自身が変化するということを視野に入れていないだけかもしれない。「変化する自身」を外部に取り出したのがセキュリティキーかもしれないが、これはこれで持ち運ぶことができるようになっているし。

いやー、私にはどうするのがよいか考えつかないね。

 

(2024/01/28 22:07追記)

Windows11 のアカウント設定でセキュリティキーを設定したつもりだったが、ログインではそういう項目は出てこなかった。
追加設定で「Windows Hello サインインのみ」が有効になっていたから外してみたが、それでも変わらず。

image

よく見ると、セキュリティキーでサインインするとは書いてあるが、「アプリにサインインする」と書いてあった。

image

管理ボタンを押すと、PIN の設定などができる。
毎回 PIN 入力を求められていたのはここか!

image

そしてダイアログのタイトルは「Windows Helloセットアップ」なのだよなぁ。

リセットは「セキュリティキーからすべてを削除して」と書いてあるので、キーの方に PIN が設定されるのだろうか。

 

↑の方では Windows Hello のことしか調べていなかったが、セキュリティキーも調べるとちょっと違った。

Windows Hello またはセキュリティ キーで Microsoft アカウントにサインインする - Microsoft サポート
https://support.microsoft.com/ja-jp/windows/windows-hello-%E3%81%BE%E3%81%9F%E3%81%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%82%AD%E3%83%BC%E3%81%A7-microsoft-%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%81%AB%E3%82%B5%E3%82%A4%E3%83%B3%E3%82%A4%E3%83%B3%E3%81%99%E3%82%8B-800a8c01-6b61-49f5-0660-c2159bea4d84

「Microsoftアカウントに」なのだ。

つまり、こういうことか。

  • Microsoftアカウントにサインインするのに、FIDO2 のセキュリティキーが使用できる
  • Windows11 では FIDO2 のセキュリティキーを管理することができる
    • が、Windows11 のログインに FIDO2 のセキュリティキーが使えるわけではない

まあ、これを書いているノートPCは指紋認証があるから、セキュリティキーはなくてもよいのだけどね。

時刻:
ラベル:

0 件のコメント:

コメントを投稿

コメントありがとうございます。
スパムかもしれない、と私が思ったら、
申し訳ないですが勝手に削除することもあります。

注: コメントを投稿できるのは、このブログのメンバーだけです。

登録: コメントの投稿 (Atom)