LinuxでFIDO2#

Nitrokey FIDO2は、2ファクタ認証(2FA)とパスワードレス認証に対応しています。

  • パスワードレス認証**では、パスワードを入力する代わりに、Nitrokey FIDO2とPINを使ってログインします。

  • 2ファクタ認証**(2FA)では、パスワードに加えてNitrokey FIDO2もチェックされます。

Nitrokey FIDO2は、現在のあらゆるブラウザで使用することができます。

重要

Nitrokeyアプリは、Nitrokey FIDO2には使用できません。

ちなみに

https://update.nitrokey.com/ Nitrokey FIDO2が最新のファームウェアをインストールしているか、オンラインで確認します。

パスワードレス認証#

  1. FIDO2をサポートするウェブページを開く(例:`Google<https://myaccount.google.com/>`__)。

  2. ウェブサイトにログインし、アカウントのセキュリティ設定にある「パスキーとセキュリティキー」にアクセスしてください。

  3. パスキーの作成」をクリックします。

  4. 別のデバイスを使用する」をクリックします。

  5. プロンプトに従って、Nitrokey FIDO2 の PIN を設定します。

  6. プロンプトが表示されたら、あなたのNitrokey FIDO2のボタンをタッチしてください。

  7. デバイスの設定に成功したら、ログインするたびに、PINを入力した後、この方法でNitrokey FIDO2を有効化する必要があります。

2ファクタ認証(2FA)について#

  1. FIDO U2Fをサポートしている `サイトの一つを開きます<https://www.dongleauth.com/>`_

  2. Webサイトにログインし、アカウント設定で2ファクタ認証を有効にします。(ほとんどの場合、dongleauth.com にサポートされているWebサービスのドキュメントへのリンクがあります)

  3. Nitrokey FIDO2をアクティベートするボタンをタッチしてアカウント設定に登録してください。設定に成功した後は、ログインするたびにこの方法でNitrokey FIDO2をアクティベートする必要があります。

これで準備は完了です。

タッチボタンとLEDの動作#

Nitrokey FIDO2を接続してから2秒以内に最初のFIDO操作を自動的に受け付けます。この場合、タッチボタンに触れる必要はありません。

1回のタッチで複数の操作を受け付けることができます。そのためには、タッチボタンを最大で10秒間タッチし続けてください。

Nitrokeyの偶発的かつ悪意のあるリセットを避けるため、FIDO2のリセット操作に必要なタッチ確認時間は、通常の操作よりも長く、LEDの動作がはっきりしています(赤色LED点灯)。Nitrokey FIDO2をリセットするには、緑または青のLEDが点灯するまでタッチボタンを5秒以上タッチして確認してください。

LEDカラー

イベント

時間帯

コメント

Any(点滅)

タッチを待つ

タッチが確認されるまで、またはタイムアウトするまで

Any(点滅が速くなる)

タッチ検出、秒数カウント

タッチが確認されるまで、またはタイムアウトするまで

白(点滅)

FIDO登録・認証操作のタッチリクエスト

完了するには1秒のタッチが必要で、タイムアウトは通常約30秒です。

黄色(点滅)

設定操作のタッチリクエスト

5秒のタッチで完了する。例:ファームウェアアップデートモードの起動

赤(点滅)

リセット操作のタッチリクエスト

Nitrokeyの電源投入後、最初の10秒間のみ使用可能です。

5秒のタッチで完了。例:FIDO2のリセット操作に使用

グリーン(常時)

タッチして承諾すると、Nitrokeyはアクティブになり、さらなるFIDO2操作を受け付けます。

タッチが登録された後、10秒のタイムアウト

確認後のFIDO登録や認証の操作では、Nitrokeyは「アクティベーション」モードに入り、タッチボタンを離すまでの間、以下の操作を自動的に受け付けますが、その時間は10秒以内となります。

ブルー(常時)

Touch consumed - 操作によって受け入れられ、使い切られる。

タッチが解除されるまで

タッチ消費とは、タッチボタンを離さずに再度タッチすると、Nitrokeyは新しい操作を確認しないことを意味します。

白(シングルブリンク)

Nitrokeyはすぐに使えます。

電源投入後0.5秒

(LED信号なし)

Nitrokeyはアイドル

(LED信号なし)

単一のFIDO登録または認証操作を自動で受け付ける

電源投入後、最初の2秒以内

Nitrokeyは、挿入イベントの際に、単一のFIDO登録または認証操作を自動的に受け入れます。後者は、タッチボタンの登録信号(ユーザーの存在)と同等のものとして扱われ、設定/リセット操作は受け入れられません。

オールカラー

Nitrokeyがファームウェアアップデートモードになっている

ファームウェアのアップデート操作が成功するまで、または再挿入されるまで有効

ファームウェアのアップデートに失敗した場合、Nitrokeyはファームウェアが正しく書き込まれるまでこのモードになります。

注:白色LEDの点滅は、選択されたデバイスの信号(いわゆるWINKコマンド)にも使用されます。

トラブルシューティング#

Nitrokeyが検出されない場合は、以下のように進みます。

  1. このファイル 41-nitrokey.rules/etc/udev/rules.d/ へコピーしてください。ごくまれに、システムはこのファイルの ` 古いバージョン <https://raw.githubusercontent.com/Nitrokey/libnitrokey/master/data/41-nitrokey_old.rules>`__ を必要とすることがあります。

  2. Fedora を使用している場合は、sudo service udev restart または``udevadm control --reload-rules && udevadm trigger`` 経由で udev を再起動する。