セキュリティキーをなくしたのでリカバリ方法を実践してみるwatahani5 MinutesSeptember 9, 2019

追記: 見つかりました。

出てきました！ pic.twitter.com/U9DkvPkkNF

— 82@はに (@watahani) September 10, 2019

普段使いのバッグをなくした。たぶん置き引き ※1。

中には検証&普段使いに利用していた YubiKey もあった。てか山ほど Authenticator 入ってた。

まさか、置き引き野郎も、カバン開けたら金は一切入ってなくて、意味わからん USB 機器が山ほどはいってるとは思うまい ※1。

※1 ランチに行った焼肉屋に置き忘れたことを忘れただけ。

これ

あらすじ

土曜日の午前中に病院に行き、薬局で薬を出してもらって、家に帰った ※2。

その時どうやらバッグを調剤薬局に忘れたらしい。
嫁には、小学校にランドセルしょって忘れてくるやつおるか？とあきれられたが、まさにそれをやってのけた私である。仕方がない。

さて、やっと次の日になって、カバンがないことに気づき、薬局に電話したが見つからず。
これを置き引きと呼んでよいかはよくわからないが、中に入ってたもろもろをロストしてしまった。

で、大量のセキュリティキーもなくしたので、各社のセキュリティキーの無効化手段について確認しておこうというのが本日の企画。

※2 何度も言うが、ランチに行った焼肉屋に置き忘れたことを忘れただけ。

Google

https://myaccount.google.com/ から、セキュリティ > 二段階認証 に移動。

サインインは信頼されたブラウザーからはパスワードだけで OK だった。
この辺は組織アカウントかどうかとかで動作が違うと思われる。

信頼されたブラウザーって結構色々できるので気を付けたほうがいいなとコナミ。

ちゃんと最終使用日があるため、不正ログインされていないか確認可能だった。また、おおよその最終仕様場所もわかる。
編集ボタンから Revoke して完了。

Microsoft Account

https://account.microsoft.com から、セキュリティ に移動。

追加の認証はスマホへの通知にて。

2 段階認証 (追加のセキュリティ オプション) に移動して Windows Hello とセキュリティキー > サインイン方法の管理 にて一覧を確認可能。
MS って個人アカウントは MFA じゃなくて2段階認証やねんな。

最終利用日が分かる。削除ボタン押して revoke 完了。

GitHub

https://github.com/settings/ から Security > Two-factor authentication > Security keys にアクセス。

家にある YubiKey を登録してあったので、サインイン セッション + 追加の認証 YubiKey タッチでアクセスできた。
セキュリティキーまったくない場合は Authenticator アプリかリカバリコードでサインインかな。

もしかすると信頼された端末からはパスワードだけで入れるかもしれないけど未確認。

ゴミ箱アイコンで削除…した後の画面です。
というのも、他のアカウントに比べてサインインした際の通知が来ないイメージだったので、なんとなく一番不安に感じたから、GitHub のキーを真っ先にめに無効化したんです。

Facebook

https://www.facebook.com/settings から、セキュリティとログイン > 二段階認証を使用

追加の確認はパスワードだった。これも信頼されたブラウザーとして保存しているからかな。

セキュリティキー から登録しているキーを削除…と思ったけど、いつ登録したかわからんやーつしかなかったので全部削除して手元のキーを登録しておく。

Twitter

https://twitter.com/settings/account にアクセス。

ログインは Authenticator アプリで。Chrome でプロファイル切り替えて使ってると、なぜか Twitter の認証が切れてしまうので最近はずっと Authenticator アプリ使ってた。

Security > Two-factor authentication から Security Key のチェックを外すだけ。

ついでに手元のキーを登録しておくけど、相変わらず一本しか登録できないし名前も付けれないのできっとまた忘れる。

まとめ

と、いうことで、限られたサンプルではあるがセキュリティキーをなくした場合のリカバリ手順でした。

Google と Facebook は信頼された端末からの設定であればパスワードのみでリカバリ可能だけど、Microsoft アカウントは、Authenticator アプリでの追加認証が必要だった。Twitter は最近常にセッション切れてるのでよくわからず。

もしかすると Microsoft アカウントについても信頼された端末にしてれば動作違うかもなのであくまで参考程度に。

で、やっぱ最終使用日時と、サインイン時の通知が来るのは機能として良い。

一番の問題は、なくしたキーを買うための予算が通るかである。あと、尼で買うと、前職にこいつキーなくしたなってバレる可能性があるのがつらい。

関連記事

• Azure AD の FIDO2 Security Key 対応のパブリックプレビューが来たー

• FIDO2 対応の Security Key ファーストインプレッション

• Edge が WebAuthN をサポートしたらしいので色々試してみた(Insider Preview)

• 雑感 Microsoft Ignite What's new for Windows Hello for Business

• YubiKey 5 シリーズで Azure AD のサービス プリンシパルの証明書認証する