見出し画像

インテル® EMAでクライアントPCの管理を行う(続・二要素認証編)

vPro友の会

二要素認証に対応しましたが・・・

 インテル® EMAがバージョンアップを機にログオン時のセキュリティ強化(アカウント保護)として二要素認証に対応し、モバイルアプリを使った追加の認証ができるようになりました。EMAではワンタイムパスワード生成用のハッシュアルゴリズムにSHA-1、SHA-256、SHA512と三段階の強度を選択できますが、前回使用したMicrosoft Authenticator や Google Authenticator ではSHA-1の場合は問題無く動作したものの、より強度の高いSHA-256やSHA-512では動作しませんでした。それらについてどのアプリケーションで対応できているのか、EMAのマニュアルやインテルのサイトを見ても記述が無いようだったので、世の中で比較的広く使われているかなと思われるモバイルアプリを独断と偏見でいくつかピックアップして実際の動作を試してみました。
 なお、動作しなかったアプリでもどこかの設定を変えることで動作するようになったり、将来のバージョンアップで対応するようになるかもしれませんが、それはそれ、現時点の標準動作という事でご了承ください。
 今回試せなかったアプリをお使いの方で、同じように試してみた方がいればコメントに結果を書いていただけると幸いです。今回試したのはiOS版のアプリだけですが、Android版で動作が変わるという事は無いと思われますが、異なった場合もコメントに書いていただけると助かります。

1.Microsoft Authenticator

 Microsoft社の認証アプリで、(根拠はありませんが)現在最も広く使用されていると思われます。EMAの二要素認証ではSHA-1では問題無く動作しましたが、SHA-256やSHA-512ではQRコードを読み込んで一覧には表示されましたが、そこに表示されているワンタイムパスワードを入力しても認証されませんでした。

Microsoft Authenticator

2.Google Authenticator

 EMAの二要素認証ではSHA-1では問題無く動作しましたが、SHA-256やSHA-512ではQRコードの読み込み自体ができませんでした。

Google Authenticator

3.Twilio Authy Authenticator

 EMAの二要素認証ではSHA-1では問題無く動作しましたが、SHA-256やSHA-512ではGoogle Authenticator同様、QRコードの読み込み自体ができませんでした。

Twilio Authy Authenticator

4.okta Verify

 ようやく見つけました。EMAの二要素認証でSHA-1、SHA-256、SHA-512のいずれも問題無く動作しました。

5.LastPass Authenticator

こちらもokta Verify同様、EMAの二要素認証でSHA-1、SHA-256、SHA-512のいずれも問題無く動作しました。

LastPass Authenticator

6.Duo Mobile

 EMAの二要素認証ではSHA-1では問題無く動作しましたが、SHA-256やSHA-512ではMicrosoft Authenticator同様にQRコードを読み込んで一覧には表示されましたが、そこに表示されているワンタイムパスワードを入力しても認証されませんでした。

Duo Mobile

まとめると

 どのアプリでもデフォルト設定のSHA-1では問題無く動作しました。SHA-256やSHA-512ではokta VerifyとLastPass Authenticatorで動作が確認できました。

モバイルアプリの動作一覧

一方、EMAのAdministration and Usage Guideには以下のような記述があります。

NOTE
The National Institute of Standards and Technology (NIST) deprecated the use of SHA1 and recommends moving away from SHA1 as soon as possible. Additionally, SHA256 is now considered deprecated by Intel and Intel recommends against its use as well. We advise you to use the highest level of encryption possible and to work with your authenticator application providers to leverage more robust algorithms. Be aware that SHA1 and SHA256 support will be eliminated in future Intel® EMA releases.

NOTE
When selecting the encryption algorithm, Read the documentation of authenticator app you are using to make sure it supports the hashing algorithm set in Intel® EMA security settings.

SHA-1はNISTでも非推奨扱いだし、SHA-256もインテルでは廃止を検討している。SHA-1やSHA-256は将来のEMAではサポートしなくなる予定と書かれていて、SHA-512の使用を推奨しているようです。よってできれば最初からSHA-512を選択しておいた方が後の事を考えると良さそうです(だったらどのアプリでSHA-512が使えるのかぐらい書いてあっても良さそうですが・・・)。

さて次回は

今度こそPowerShellの続きに戻ります。

みんなにも読んでほしいですか?

オススメした記事はフォロワーのタイムラインに表示されます!

【お知らせ】こちらでもvProに関する情報を発信中です!

PC匠道場 ~PC設定・管理のツボ~
PCを管理・設定する人や企業を総合的に応援!