インテル® EMAでクライアントPCの管理を行う(続・二要素認証編)
二要素認証に対応しましたが・・・
インテル® EMAがバージョンアップを機にログオン時のセキュリティ強化(アカウント保護)として二要素認証に対応し、モバイルアプリを使った追加の認証ができるようになりました。EMAではワンタイムパスワード生成用のハッシュアルゴリズムにSHA-1、SHA-256、SHA512と三段階の強度を選択できますが、前回使用したMicrosoft Authenticator や Google Authenticator ではSHA-1の場合は問題無く動作したものの、より強度の高いSHA-256やSHA-512では動作しませんでした。それらについてどのアプリケーションで対応できているのか、EMAのマニュアルやインテルのサイトを見ても記述が無いようだったので、世の中で比較的広く使われているかなと思われるモバイルアプリを独断と偏見でいくつかピックアップして実際の動作を試してみました。
なお、動作しなかったアプリでもどこかの設定を変えることで動作するようになったり、将来のバージョンアップで対応するようになるかもしれませんが、それはそれ、現時点の標準動作という事でご了承ください。
今回試せなかったアプリをお使いの方で、同じように試してみた方がいればコメントに結果を書いていただけると幸いです。今回試したのはiOS版のアプリだけですが、Android版で動作が変わるという事は無いと思われますが、異なった場合もコメントに書いていただけると助かります。
1.Microsoft Authenticator
Microsoft社の認証アプリで、(根拠はありませんが)現在最も広く使用されていると思われます。EMAの二要素認証ではSHA-1では問題無く動作しましたが、SHA-256やSHA-512ではQRコードを読み込んで一覧には表示されましたが、そこに表示されているワンタイムパスワードを入力しても認証されませんでした。
2.Google Authenticator
EMAの二要素認証ではSHA-1では問題無く動作しましたが、SHA-256やSHA-512ではQRコードの読み込み自体ができませんでした。
3.Twilio Authy Authenticator
EMAの二要素認証ではSHA-1では問題無く動作しましたが、SHA-256やSHA-512ではGoogle Authenticator同様、QRコードの読み込み自体ができませんでした。
4.okta Verify
ようやく見つけました。EMAの二要素認証でSHA-1、SHA-256、SHA-512のいずれも問題無く動作しました。
5.LastPass Authenticator
こちらもokta Verify同様、EMAの二要素認証でSHA-1、SHA-256、SHA-512のいずれも問題無く動作しました。
6.Duo Mobile
EMAの二要素認証ではSHA-1では問題無く動作しましたが、SHA-256やSHA-512ではMicrosoft Authenticator同様にQRコードを読み込んで一覧には表示されましたが、そこに表示されているワンタイムパスワードを入力しても認証されませんでした。
まとめると
どのアプリでもデフォルト設定のSHA-1では問題無く動作しました。SHA-256やSHA-512ではokta VerifyとLastPass Authenticatorで動作が確認できました。
一方、EMAのAdministration and Usage Guideには以下のような記述があります。
NOTE
The National Institute of Standards and Technology (NIST) deprecated the use of SHA1 and recommends moving away from SHA1 as soon as possible. Additionally, SHA256 is now considered deprecated by Intel and Intel recommends against its use as well. We advise you to use the highest level of encryption possible and to work with your authenticator application providers to leverage more robust algorithms. Be aware that SHA1 and SHA256 support will be eliminated in future Intel® EMA releases.
NOTE
When selecting the encryption algorithm, Read the documentation of authenticator app you are using to make sure it supports the hashing algorithm set in Intel® EMA security settings.
SHA-1はNISTでも非推奨扱いだし、SHA-256もインテルでは廃止を検討している。SHA-1やSHA-256は将来のEMAではサポートしなくなる予定と書かれていて、SHA-512の使用を推奨しているようです。よってできれば最初からSHA-512を選択しておいた方が後の事を考えると良さそうです(だったらどのアプリでSHA-512が使えるのかぐらい書いてあっても良さそうですが・・・)。
さて次回は
今度こそPowerShellの続きに戻ります。