環境: macOS (Apple silicon M1)

TL;DR

Macbookのログインに利用できるキーは実質メインキーのみであり、backupキーによるFileVaultの復元ができません。 パスワードによるログインは可能のままにしておくことが必要です。

YubiKeyでMacbookへのログイン設定

AppleのM1以降ののMacでは、FileVault認証にYubiKeyを使うことができます。 通常YubiKeyを利用する場合、紛失に備えてbackup用のキーを設定します。 紛失した場合にロックアウトされてしまうからです。

しかし、FileVaultを有効にしている場合、利用時がこの考え方が通用しません。 複数のキーをペアリングしたとしても、 認証時には、最後に認証に使用されたスマートカードのみが有効になる仕様のようです[参考]。 バックアップ用に設定されたスマートカードは直前に利用していない限り ディスクをロック解除することができません。

つまり、backupキーが実質的に機能せず、 普段利用しているメインキーを紛失した時点でMacへログインが不可能になります。

YubiKeyによるログインを必須にすることは下記のように可能ですが、このリスクを認識しないといけません。

# この設定をするとキーを紛失すると詰みます。
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true

backupキーによるFileVaultの復元ができませんので、他にリカバリ手段がない個人の利用者は、ログインにはパスワードによる認証も許可するようにしておくことが必要です。

[参考] こちらに記載されていました

Since a Mac's encrypted data has yet to be unlocked during this authentication, only the smart card that was used most recently to authenticate will work.

最後に

ログインでは上記のリスクがありますが、iCloudへの認証の2FAとしてセキュリティを強化できます。