今日(米国時間10/1)GitHubは同社初のユーザカンファレンスGitHub Universeを開催し、その席で、Yubicoなどが提供しているセキュリティキーFIDO Universal 2nd Factor(U2F)のサポートを開始する、と発表した。それはUSBポートに挿入して使う文字通りの“鍵”デバイスで、挿入すると第二要素の認証コードを自動的に生成するので、Google AuthenticatorやAuthyなどの6桁のコードを手入力する必要がない。
二要素認証はフィッシングや中間者攻撃の撃退に効果的だが、完全な対策ではない。しかしU2Fセキュリティキーを使うと、サイトと情報交換をせず、最初のセットアップ時にすでに認証されているから、ログイン時の欺瞞行為が難しい。ただし今のところU2FをサポートしているブラウザはGoogleのChromeのみだ。〔もちろん相手サイトがサポートしていなければならない。〕
GitHubはすでに、AuthenticatorのようなアプリやSMSにより、二要素認証をサポートしている。同社のセキュリティ担当VP Shawn Davenportによると、GitHubの現在の1100万のユーザのうち、約30万が二要素認証を使っている。この数をさらに増やし、またセキュリティキーの採用に弾みをつけるために、同社はYubicoとパートナーして最初の5000名の購入者にはキーを5ドルで提供し、その後の購入者には2割引きで提供する。
Davenportによると同社は最近、二要素認証のサポートに関していくつかの問題に遭遇した。たとえば、SMSを国際的に使うと、セキュリティの信頼性が落ちる。またスマートフォンを頻繁に買い換えるユーザが多く、そのときセキュリティトークンの移送を忘れて、認証アプリが動かない、ということもある。
YubicoのCEOでファウンダのStina Ehrensvardによると、今やGitHubは同社の三番目の大企業パートナーとして、U2Fキーの普及に努めてくれる。最初のパートナーはGoogleとDropboxだ。彼女によると同社は今、これらのパートナーのおかげで伸びているが、Chrome以外のブラウザがサポートすることによってもっと広く普及させたい、という。今YubicoはMozillaやMicrosoftに働きかけているが、“彼らの動きは鈍い”そうだ。