Googleによると、2021年に同社が行った2段階認証(2SV)の標準化によりアカウントの乗っ取り被害が約5割減少したという。標準化により同社アカウントを持つ1億5000万人以上のユーザーが2段階認証の対象になった。加えて200万人以上のYouTubeクリエイターにも2SVを要求している。この取り組みの結果、上記のユーザーにおけるアカウントの侵害が50%減少したとしている。ただベースとなる乗っ取り被害者の総数が不明であるため、この数字が多いのか少ないのかは若干わかりにくいところがある(
Googleブログ、
やじうまWatch)。
半分は突破するのか (スコア:0)
二段階認証って結構面倒な割に半分は防げないのか…。
さすがにGoogleは二段階認証と無駄に長いパスワード使ってるけど、1段階で済ましてるサービスはあるな。
アカウント切り替えが面倒だったり、再ログイン要求されると怠かったり、SMS認証とかだとアカウント喪失やログイン不可期間が怖い。
あと電話番号知られるのもやだね。
Re:半分は突破するのか (スコア:2)
自分も最初にこれ思ったんですが、2段階を標準化したら「被害総数が50%」になった、ということですよね。
被害にあった50%のうち、2段階を導入済の人がどれだけいるのかは不明なのかなと。
Re: (スコア:0)
YouTubeの方はともかく、1億5000万の方は導入済みであるように読めるけど。
Re: (スコア:0)
スラドのストーリー本文だと不安だから元記事を見たけど
Since last year’s initiative, we’ve successfully auto-enabled 2SV for over 150 million people, and we've also required it for over 2 million of our YouTube creators. As a result of this effort, we have seen a 50% decrease in accounts being compromised among those users.
2段階認証に移行したアカウントにおいて被害が50%減したと
つまり単純認証の時に被害率が例えば10%だったとしたらそれが2段階認証だと5%になったみたいなことだな
うーん確かに思ったほど強くない…
Re: (スコア:0)
アカウント侵害されるタイプの人で、このコードやリンクは絶対他人に教えるなよ!を前フリだと捉える関西人が半数いたという話なのかもしれない。
Re: (スコア:0)
むしろそんなに乗っ取り行為がされてんだなと思った
Googleアカウントそんなに欲しいか?
Re: (スコア:0)
そりゃ普通の人は他人のアカウント欲しいなんて思わないでしょう。
メールアカウント取れれば相当の個人情報とメールでパスワードリセットできるサービスのアカウントごっそり抑えられる。
Re: (スコア:0)
四段階認証にすればかなり防げそう
Re: (スコア:0)
面倒すぎて誰もログインしなくなれば防御率100%
Re: (スコア:0)
クラックされたYouTubeの収益化済みアカウントで、テレビ番組や映画やスポーツ番組、最近じゃNFT詐欺の勧誘動画などが違法アップロードされてるのをGoogleはいつになっても止められてないし1日以上放置してるのは改善してないからな。
Re: (スコア:0)
二段階認証に移行した段階で既に乗っ取られている例も少なからずありそう。
Re: (スコア:0)
スマホの設定によってはSMSのメッセージがロック画面からでも読めてしまうことがあるので、スマホが手元にあれば行けてしまうこともあります。
また身内の犯行であればロック画面も意味ない可能性が高く、スマホで「このアクセスは本人か」にYesボタンを押すだけの認証も無駄です。
顔や指紋認証に頼っている場合、それらが認証の強度を下げる要素になります。
Re: (スコア:0)
スマホの設定によってはSMSのメッセージがロック画面からでも読めてしまうことがある
設定によって非表示にすればいいはなしですね。
また身内の犯行であればロック画面も意味ない可能性が高く
身内にロックを意味なくさせるみたいな詐欺的行為をする人がいる家庭とか、アカウントの乗っ取り云々以前の話だと思いますね。
Re: (スコア:0)
そうですね、その設定ができていない人が5割の中に多く含まれているだろうという話です。伝わりませんでしたか?
Re: (スコア:0)
認証済みのデバイスに直接アクセスできる奴には無力ですからね
寝てる時に色々されるとかね
ランダムパスワードが最強 (スコア:0)
二段階認証は面倒なので、20文字前後のランダムパスワードを設定して、
それをパスワードマネージャで管理してる
Re: (スコア:0)
20文字前後のランダムパスワードをワンタイムパスワードとして発行したらいいんだよ。
Re: (スコア:0)
ランダムパスワードはブルートフォース攻撃にはまあまあ強くても
流出されたりフィッシングに引っかかったりしたときに無力だから二段階認証しとけって
Re: (スコア:0)
でも5割しか防げないんでしょ?
Re: (スコア:0)
だからこれは2段階認証使ってないやつも含めて五割減の結果なんだってば
Re: (スコア:0)
"those users"だから、2段階認証に移行したユーザーの中で、でしょう。
やじうまWatchの記事でもそう読めるし。
Re: (スコア:0)
2段階でもTOTPとかだと、リアルタイムで裏でログイン試行されたらフィッシングには同じように無力だよね。
Re: (スコア:0)
TOTPでもログインしようとしている端末以外から入力可能だとは思えないんだけど、「裏でログイン試行」って具体的にはどんなものなのか教えてほしい
Re: (スコア:0)
一番単純な方法なら、全部本物のサイトにリバースプロキシしてるフィッシングサイトを作れば、ログイン情報の入力もTOTPの入力もフィッシングサイト上でユーザーに行わさせて、そのままログインセッションを奪える。
Re: (スコア:0)
それってほとんどの二段階認証に言えることで「2段階でもTOTPとかだと~」って話ではないような気がするんだけど
Re: (スコア:0)
専用アプリでログイン承認をするタイプや、メールやSMSを送信して承認URLを踏ませるタイプには当てはまらないわけで、ほとんどに当てはまるとは全く言えない。
標準化って言われると (スコア:0)
2段階認証の仕様がW3CかIETFあたりの定める規格になったようなイメージ
デフォルト化ってことだよね
二段階認証自体はいいんだが (スコア:0)
デフォルトの二段階認証方法を自由に選ばせてほしい
スマホ端末にメッセージを送ってタップさせるやつだとスマホが手元にないときに不便だし、認証のたびにスマホロック解除→タップが地味に面倒
パスワード管理ツールを使ってる身からすればTOTP方式の方が面倒がないんだ
Re: (スコア:0)
少数派のためにコストをかけろってのもなぁ。
Re: (スコア:0)
えー?
ウチの会社では、仕事用PCは支給されているけど、仕事用スマホは支給されてないよ。
仕事中は自分のスマホは鞄にしまってある(今はテレワーク中だけど)
そもそも個人のスマホに仕事用アカウントを結びつけるのも嫌だし、セキュリティ的にもよろしくないでしょ。
Re: (スコア:0)
仕事で必要なスマホを支給しない会社が少数派。
Gmailにログインできなくなった (スコア:0)
インターネット回線契約を変更してしばらくしてから、Gmailにログインしようとするとスマートフォンの番号を入力するように促されるようになった。俺の持ってるガラケーの番号をGoogleに教えるの、何か嫌だなぁと思ってその他の方法を探すみたいなのをクリックしたら、ログインは拒否されました、などと表示されてログインできなくなった。以降何回か試しているけど、結局同じ結果になってログインできなくなった。まあそのアドレスはほぼ転送専用で、オリジナルのメールはPOP3で確認できるし、当該Gmailアカウントでフィルターした結果はガラケーに届くようになっているので、そのフィルター調整が出来ない以外の実害は無いのだが。
ここまで書いて思ったが俺のケースって、Googleは「アカウントの乗っ取り被害を防止したケース」にカウントしてるんじゃないだろうか!?ひょっとして。
Re: (スコア:0)
> 何か嫌だなぁと思ってその他の方法を探すみたいなのをクリックしたら
絶対もっと色々やってるでしょ。
都合の悪いところを隠すのは良くないなあ。
Re: (スコア:0)
それが無いから問題なんだよなぁ。
# というか、ネット回線の変更が非常に大きな最大要因でしょ?だと思ってる。元に戻せないし。
Re: (スコア:0)
うちの5歳児も本当のことを言ったら怒られるとわかってるときは「なーんにもやってない」って言う。
Re: (スコア:0)
本当のことを言っても嘘だって決め付ける人、よく居るよね。どういう心理なんだろう?
Re: (スコア:0)
予備のメアドを登録しとけば信用性が上がって違うIPアドレスのレンジからログインしてもすぐに終わるんだけど
なぜ複数のメアド持ってるのにそれをやらなかったの
てかアカウント作った時に登録しなかった?
なんで「2段階」なんだろ (スコア:0)
https://www.google.com/landing/2step/index.html#tab=how-it-protects [google.com]
知識と所有を求めてるなら2要素認証でいいのでは。
Re:なんで「2段階」なんだろ (スコア:1)
広義には、おおむね 「2要素認証 ⊂ 2段階認証」でしょう。
(複数要素を1段階で認証する認証方式があったら、この包含関係は成り立ちませんが、ちょっと想像つかないですし)、
狭義に多要素認証は多段階認証に含めないとする主張もわからなくもないけど、
それはそれで多段階認証とは何かについて言葉を狭めすぎだと思います。
少なくともGoogleの認証は2要素認証であり2段階認証でもあるから、2段階認証と呼んでも間違いじゃない。
セキュリティ強度の観点では、2要素かそうでないかは重要ですが、
利用者への認証フローの説明としては、2段階の方がわかりやすいと思います。
Re: (スコア:0)
無視できない量がAndroid用のアカウントだからでは。
Re: (スコア:0)
2要素という表現は現実に見合ってないという感じですかね。
Re: (スコア:0)
2要素認証はフィッシングに対して脆弱。あとパスワード使い回しにも脆弱。
Re: (スコア:0)
誰かがアカウントを乗っ取ろうとしていて、それを通知や遮断するために二段階。
Re: (スコア:0)
原語だとMulti-Factor Authenticationなので「多要素認証」なんだけどな。
誰だよ二段階って訳した奴は・・・2でもないし段階でもない。
地位だけ高いじーさんとかが「パスワード2重にすればいいではないか」とか
アホなこと言うので説明するのが大変なんだが。
Re: (スコア:0)
原語ってのが一体何の話か知らんが、今回のGoogleの話ではGoogle自身が "2-Step Verification" と言ってる。
これの訳に二段階認証というのは実に的確だろう。
Re: (スコア:0)
2FAだのMFAだのではない時点で別の語だというのが分かりそうなものだけどね。
かっこつけて英語使おうと思ってる実際には英語が全然できない人みたい。