二要素認証(TOTP)のトークンをどこに保存するか問題 - @kyanny's blog
を見てておもったやつ
1Password、Chrome 拡張とかで使う分には
- パスワードでの認証(知識)
- 1Password 連携済みの端末(所有)
が必要なので、知識と所有の 2 要素が担保できている、という認識でいた このケースは新しい端末の同期がパスワードだけでは無理なので成立しているはず
もしくは拡張とかでなくふつうに 1Password にログインする場合
- パスワードでの認証(知識)
- シークレットキーでの認証(所有)
が必要で、後者はルックアップシークレットに該当して所有となる認識(参考 : NIST Special Publication 800-63B)
なんだけど、Emergency Kit を使って復旧するケースは 1Password の資料を見ていると微妙なのかも
Emergency Kit について知る | 1Password
には
印刷した Emergency Kit の 1 枚以上のコピーにマスターパスワードを記入してください。
という記載があって、こうなってくると Emergency Kit さえ盗めれば突破できるのでマスターパスワードがあるから知識と所有の 2 要素だよね、とは言い難い気がする(セキュリティキー本体に PIN が印字されてるみたいな) ただじゃあ 1Password での TOTP シークレットの管理は Not MFA だよね、でいいのかというとそれもなんか微妙な気がしていて、それはこの資料にもあるように Emergency Kit はちゃんと保存してね、みたいな記載がある
コピーを印刷して貸金庫に入れておくか、パスポートや出生証明書などと一緒に保管してください。
ので、他の認証と同等に取り扱っていいのかというとなんとも言えない気がしており、なんとも言えない気持ちになった 自分ではあんま気にせず引き続き使うけども・・・
最近 AAL とか MFA かどうかとか、ユーザーの使い方によってはこうなるよね、みたいなものの取り扱いで悩むことが多い