アプリ開発備忘録

PlayStationMobile、Android、UWPの開発備忘録

YubiKey OTPを公開してしまった場合、どうすれば良いか

YubiKeyはディスクを押すとOTPが入力されます。最後にエンターが入力されるので、うっかりチャットで送信されてしまう人を極稀に見ます。そこで起きるセキュリティリスクは何かを調べました。

リスク

まず、このキーがあればYubiKeyでの認証が突破される為、YubiKeyだけで認証している場合は突破されてしまいます。

Microsoftアカウントにはパスワードレスアカウントというものがありますが、これは危険という事がわかります。

https://support.microsoft.com/ja-jp/account-billing/microsoft-%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%81%A7%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%83%AC%E3%82%B9%E3%81%AB%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95-674ce301-3574-4387-a93d-916751764c43

二段階認証としてYubiKeyを使うのは良いですが、これだけで認証するのは危険です。

対策

YubiKeyのOTPを無効化する方法があるので、公開してしまった場合は一応無効化しておきましょう。
YubiKeyのサイトで公開してしまったOTPを入力するか、新規のOTPを入力する事で以前のOTPを無効化する事ができます。
https://demo.yubico.com/otp/verify

予防

長押ししないと入力されないように二番目のスロットに入れたり、入力を遅延する方法でうっかりの公開を予防する方法もあります。
https://support.yubico.com/hc/en-us/articles/360013714379-Accidentally-Triggering-OTP-Codes-with-Your-Nano-YubiKey

参考

https://security.stackexchange.com/questions/30891/what-is-the-risk-and-mitigation-of-accidentally-typing-a-yubikey-password-in-an