Yubikeyを使ってmacOSでもPINでログインしてみた

2017.10.27

はじめに

こんにちは植木和樹@上越妙高オフィスです。クラスメソッドの社員はイベントや勉強会への登壇の機会が多く、リモートワークも活発なのでノートPCを頻繁に持ち歩きます。働く場所を選ばない反面、PC持ち出しを禁止している企業に比べると当然紛失・盗難のリスクは高いです。

そこで今回MacのログインにYubikeyを必須にすることで、紛失・盗難された時もログインできないようにすることで安全になるのでは?ということで検証してみました。

そもそもYubikeyってなに?という方はこちらのブログを参照してください。

またここのサイトが詳しいので、ぜひ読んでみてください。

お断り

先に結論をいうと、今回の設定しても期待したセキュリティの強化を実現することができませんでした。詳しくはまとめをご覧ください。

なので「Yubikeyってこんなこともできるんだね」という参考程度に読んでもらえればと思います。

用語とツール紹介

PIV (Personal Identity Verification)

いわゆるスマートカードというもので、鍵情報を保存して必要なときに取り出すことができます。取り出す際にはPINという数桁の数字が必要です。

今回はMacのログイン情報をYubikeyに保存します。そしてログイン時はYubikeyを挿してPINを入力します。

PIN (Personal Identification Number)

手元のYubikeyに設定する番号です。Yubikeyでは6〜8桁の数字のみで設定することが推奨されています(アルファベットや記号は使わない方が無難)。

PINを入力するとYubikeyから鍵情報が読み出され、対象のアプリケーション(今回だとMacのログイン)に渡されます。

YubiKey PIV Manager (YubiKey PIV Tool)

Yubikey + PINでMacへ簡易ログインできるように設定するためのツールです。 Smart Card Drivers and Tools | Yubico からダウンロードできます。2017/10/26 時点のバージョンは v1.4.2。

なおPIV ManagerがGUI版で、PIV Toolはコマンドライン版です。

YubiKey Personalization Tool

Yubikeyをいろいろ設定するための管理ツールです。今回は使いません。

Mac OS Login Tool

後述しますが、YubiKey PIV Managerで設定しただけだと、通常のID・パスワードに加え Yubikeyでも Macにログインできる状態になります。

Yubikeyの導入目的が「Macが盗まれてもYubikeyがなければログイン不可としたい」の場合には、 Yubikeyでなければ Macにログインできない状態にする必要があります。これを実現するのがこのツール(実体はPAMのライブラリファイル)です。

Computer Logon Tools | Yubico からダウンロードできます。2017/10/26 時点のバージョンは v2.2.4。

今回は使いません。

いったん整理

つまりYubikeyでMacにログインする設定には2種類あります。

YubiKey PIV Manager

今回試してみた、簡単に設定できる方法です。

通常のID・パスワードに加えて、YubikeyでもMacにログインできるようになります。 長い英数字のパスワードを入力しなくて良くなるためログインは多少簡単になるかもしれませんが、セキュリティレベルはあがりません。

YubiKey Personalization Tool + Mac OS Login Tool

やや設定が難しい方法です。

MacログインにYubikeyが必須になります。ID・パスワードでの入力はできなくなります。 Macが盗まれてログインにはYubikeyが必要になるため、別々に保管しておくとセキュリティレベルがあがります。

設定手順

How To Use Your YubiKey with macOS Sierra | Yubico の通りになります。

まずYubikey PIV Managerをダウンロードしてインストールします。

YubiKey PIV Managerがアプリケーションフォルダにインストールされるので起動します。

20171026_mac-yubikey_001

手元のYubikeyをUSBポートに差します。するとYubikeyを認識してくれます。

20171026_mac-yubikey_002

Device Initializationという画面が開くので、覚えやすい6〜8桁の数字(PIN)を入力しましょう。Management KeyUse PIN as keyのままでOKです。

20171026_mac-yubikey_003

Set Up Yubikey for macOS画面が開きます。「SierraならアカウントとリンクしてPINでログインできるようになるよ!」と言ってるのでYesをクリックします。

PINを聞いてくるので、先程入力した6〜8桁の番号を入力しましょう。

20171026_mac-yubikey_004

ペアリングプロセスを完了するには、一度Yubikeyを抜いて挿し直します。この画面はOKで閉じて大丈夫です。

20171026_mac-yubikey_005

Yubikeyを挿し直すとペアリング確認の画面が開きます。ペアリングをクリックして現在のアカウントと紐付けましょう。

20171026_mac-yubikey_006

ログインパスワードを聞いてくるので入力します。

20171026_mac-yubikey_007

再びPINを聞いてくるので入力します。

20171026_mac-yubikey_008

今度はキーチェーンのパスワードを聞いてくるので入力します。通常ログインパスワードと同じになってます。

20171026_mac-yubikey_009

これで設定は完了です!

Yubikeyでログイン

MacにYubikeyでログインできるか確認してみましょう。

まずはUSBポートからYubikeyを抜いた状態で、ログインメニューを表示します。

20171026_mac-yubikey_010

通常のID・パスワード認証画面になっています。 ではYubikeyをUSBに挿してみましょう。

20171026_mac-yubikey_011

私のユーザーアイコンが表示され、PINナンバーを求めてきました! ここで設定したPINを入力するとログインできます!

QA

これまで通りIDとパスワードでも入力できる?

はい、できます。ログインメニューでYubikeyを挿さなければ、これまで通りIDとパスワードでのログインが可能です。

Yubikeyをなくしたらどうなるの?

すぐに社内のセキュリティインシデント窓口に届け出てください

今回の用途だとログインを簡略化しているだけなので、Macにログインできなくなるということはありません。

PINを後から変更できる?

はい、できます

再度Yubikey PIV Managerを起動し、Manage device PINs- Change PIN で変更可能です。

20171026_mac-yubikey_101

20171026_mac-yubikey_102

20171026_mac-yubikey_103

20171026_mac-yubikey_104

Yubikeyのアンペアリングはできる?

はい、できます

再度Yubikey PIV Managerを起動し、Manage device PINs- Change PIN3回誤ったPINを入力するとデバイスのリセットが可能です。

PINを何度も間違えてロックされちゃったらどうなる?

工場出荷時の設定にリセットできます。

下記を参考にしてください。

簡単にいうと下記の手順になります。

  1. PINを3回間違える → PINがロックされる
  2. PUKを3回間違える → PUKがロックされ、デバイスをリセットしていいか聞いてくる
  3. デバイスをリセットする

PUKというのはPINがブロックされた時にリセットする時の番号ですが、通常利用時には設定されていません。そのため適当な番号を3回入れてロックさせリセットしましたが・・・より良い方法をご存知であれば教えてください。

20171026_mac-yubikey_201

20171026_mac-yubikey_202

20171026_mac-yubikey_203

20171026_mac-yubikey_204

Macのパスワードを変更したらどうなる?

Macのパスワードを変更してもPINを変える必要はありません

まとめ

Yubikeyを使えばPCをなくしても悪用のリスクは小さくできるのでは?ということで検証しましたが、YubiKey PIV Managerだけでは残念ながら解決しないようです。

Yubikeyを挿しておけば、PINだけでログインできるため簡単といえば簡単ですが、Yubikeyを持ち歩く手間を考えると手放しで喜べる程のメリットはなさそうですね。

ただ今回の調査でYubiKey Personalization Tool + Mac OS Login Toolという組み合わせで、より強固なログインが実現できそうだということがわかりました。こちらの方法について追加調査を進めたいと思います。

参考ページ