なぜYubico OTPは専門家から避けられているのか
一般の人々はそこまで深く気にしないかもしれないが、プライバシーを気にする人、例えばスノーデン氏などは絶対にYubikeyのYubico OTP(One Time Password)を使わないだろう。たとえOTPによって本人認証がよりセキュアになるとしてもだ。
Yubico OTPとはYubikeyを使って44桁のOTPを入力させることができる機能だ。YubikeyはUSBキーボードとしてOTPを入力する。ウェブサイトなどのサービスはYubicoのクラウドでOTPが有効なものかどうかを確かめる事ができる。Yubicoの言い分としては6桁のよくあるRFC 6238 TOTPよりもセキュアだそうだ。
だが、このOTPには重大な瑕疵がある。始めの数桁が固定のIDなのだ。デフォルトではYubikeyのシリアルナンバーとなっている。そしてYubikeyがキーボードを模して入力するため、信用できないサイトや通信の時でも間違えてYubikeyに触れでもしたらそのIDが漏れる。せっかく仕事のアカウントと公益通報のアカウントを分けていたとしても、Yubikeyでセキュアにしたつもりが逆に個人特定をされてしまう。
このため、Yubikeyを入手したら、うっかり触れてIDを様々な場所にばら撒かないようにYubikey Personalization ToolでOTP機能を無効化するべきだとされる。
# 参考
## yubico OTPの機能
https://www.yubico.com/products/services-software/personalization-tools/yubikey-otp/
## Yubikey Personalization Tool