おはようございます、ritouです。
こんなTweetを見かけたので試してみました。
Google へのログイン時にセキュリティを高める二段階認証で、セキュリティキーの代わりに自分のAndroidケータイを使えるようになりました // Android 7以上のスマホ、Googleアカウントの二段階認証キーに Bluetooth接続でhttps://t.co/kwXqoY6Fye
— Eiji Kitamura / えーじ (@agektmr) 2019年4月11日
環境
- PC : macOS Mojave / macOS High Sierra
- Browser : Google Chrome バージョン: 73.0.3683.103(Official Build) (64 ビット)
設定
手順はここに書いてあります。
既に2段階認証を設定してあればすっとできそうです。 2段階認証でセキュリティキー追加を選択します。
以前はセキュリティキーを刺してください。だけだった気がしますが、Android端末も候補に出て来ました。
選択すると説明があります。
設定終わり。
もともとスマホのPush通知でログインする機能を有効にしていてわかりづらかったのでその辺を無効化して試してみます。
認証
パスワード認証後に2段階認証の画面が出て来ます。
URLバーを見て!webauthnって書いてあるよ!(大興奮)
この時手元のスマホではこんな感じになります。
OKしましょう。
PCの方でログイン成功です。
Bluetoothのペアリングがいらないってのが特徴ですね。 単純にスマホにPush通知を送るタイプとかと比べると、世界のどこかで攻撃者が試したタイミングででよくわからずOKしちゃうリスクもあるわけですが、この方法では近くにあるスマホのみ使えると言う点で安全と言えるでしょう。
OAuth/OIDCとかと違って細けぇところをリダイレクトとかで調べにくいのでふんわりですが、YubiKeyとかのセキュリティキーを買うとは思えない層への普及が見えて来ましたね!
以上です。 ではまた。
