macOSにおけるセキュリティーキーを使ったログイン(FileVault有効時)の注意点
TL;DR
Macbookのログインに利用できるキーは実質メインキーのみであり、backupキーによるFileVaultの復元ができません。 パスワードによるログインは可能のままにしておくことが必要です。
YubiKeyでMacbookへのログイン設定
AppleのM1以降ののMacでは、FileVault認証にYubiKeyを使うことができます。 通常YubiKeyを利用する場合、紛失に備えてbackup用のキーを設定します。 紛失した場合にロックアウトされてしまうからです。
しかし、FileVaultを有効にしている場合、利用時がこの考え方が通用しません。 複数のキーをペアリングしたとしても、 認証時には、最後に認証に使用されたスマートカードのみが有効になる仕様のようです[参考]。 バックアップ用に設定されたスマートカードは直前に利用していない限り ディスクをロック解除することができません。
つまり、backupキーが実質的に機能せず、 普段利用しているメインキーを紛失した時点でMacへログインが不可能になります。
YubiKeyによるログインを必須にすることは下記のように可能ですが、このリスクを認識しないといけません。
# この設定をするとキーを紛失すると詰みます。 sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
backupキーによるFileVaultの復元ができませんので、他にリカバリ手段がない個人の利用者は、ログインにはパスワードによる認証も許可するようにしておくことが必要です。
[参考] こちらに記載されていました
Since a Mac's encrypted data has yet to be unlocked during this authentication, only the smart card that was used most recently to authenticate will work.
最後に
ログインでは上記のリスクがありますが、iCloudへの認証の2FAとしてセキュリティを強化できます。