パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SMSを使った2要素認証を不許可へ、NISTの新ガイダンス案」記事へのコメント

  • 社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。

    しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、

    • Re: (スコア:2, 興味深い)

      by Anonymous Coward

      Googleにばかり矛先向けようとしてるけど、2要素認証のカギである電話まで盗んでる前提の時点で極論すぎ
      その状態で守れないケースがあるのはむしろ自然であって批判するところではない
      典型的な「キチガイセキュリティ」に成り下がってるよ

      新しい仕組みを提案するなら、アンチGoogle思考を捨ててもっと広い範囲に訴求したら?

      • ほんとそれ。物理的にデバイスをアクセスされてる時点でアウトでしょ。
        「PCに物理アクセスされたら終わり」「銀行のワンタイムパスワード生成器を盗まれたら終わり」と言ってるのと何も変わらないよねえ。
        セキュリティネタは脅すだけでホイホイとプラスモデはいるんでマジ釣り堀だわ。

        親コメント
        • 物理的にデバイスをアクセスされてる時点でアウトでしょ。
          「PCに物理アクセスされたら終わり」「銀行のワンタイムパスワード生成器を盗まれたら終わり」と言ってるのと何も変わらないよねえ。

          仮に、銀行のワンタイムパスワード生成器を盗まれたとしても、IDとパスワードが盗まれない限りアカウントへの不正アクセスはできません。「パスワード」と「物理トークン」の2要素で認証しているため、そのうちの1つだけが盗まれても安全が確保されるわけです。物理トークンだけで、パスワードの再登録が可能な銀行は存在しないのでは?

          更に、みずほ銀行やゆうちょ銀行など、多くの銀行では普段使っている環境(IPアドレスやCookie)以外からログインしようとすると追加で秘密の質問や合言葉に回答する必要があるという「3要素認証」となっています(秘密の質問ではパスワードリセットはできません)。「ワンタイムパスワード生成器を盗まれたら終わり」な銀行は存在しないと思います。

          一方、Google アカウントを含む多くのオンラインサービスの2段階認証は、「物理トークン」のみでパスワードの再登録が可能なことから事実上「1要素認証」になっているのが問題であり、場合によっては2段階認証の設定によりセキュリティが低下することが問題だと指摘しているんです。

          「PCに物理アクセス」については、BitLockerなどでドライブ全体を暗号化することで対策可能です。

          # なお、オンラインバンキングのセキュリティについては、トランザクション署名を導入しているずほ銀行などの金融機関を除き、MITBによる振込先・金額の改ざんを防げないのが大きな問題だと思います。

          親コメント
          • それは「端末にセキュリティーロックをかけてない」という別の問題を無視してるんじゃない?

            一般的なAndroid端末はセキュリティーロックがかかった状態ではGoogleアカウントだけでは解除できないし、セキュリティーロックがかかっていなければアカウント乗っ取り云々以前にGmail等にダイレクトにアクセスできるもん。

            2段階認証って「通信の途中経路や、端末に入ったマルウェアへの対策」なので、Googleアカウントが判ってる状態でのデバイス盗難みたいなケースへの対策は、そもそも2段階認証をする目的に入ってないと思うけど。

            親コメント
            • 一般的なAndroid端末はセキュリティーロックがかかった状態ではGoogleアカウントだけでは解除できないし、セキュリティーロックがかかっていなければアカウント乗っ取り云々以前にGmail等にダイレクトにアクセスできるもん。

              比較的新しめの Android 端末であれば、Google アカウントにログインできれば、Webから Android デバイス マネージャー [google.com] にアクセスすることで、端末のセキュリティロックを上書き(別のパスワードやPINに変更)できますよ。

              そのため、正しい使い方としては、端末のロック解除パスワードを忘れた場合でも、Google アカウントにログインできればロック解除が可能です。悪用する立場からすれば、Google アカウントにログインさえできれば、端末のロックを解除できてしまいます。

              また、ロックがかかっていても、電話の着信は可能なので、自動音声通話により OTP を受け取ることができます。

              Android の「リモートでのロックとデータ消去を許可する」がオンになっている必要がありますが、

              Nexus5、Nexus6、Nexus7(2013) Wi-Fiモデル、Nexus7(2013) LTEモデル、Nexus9で確認したところ全てデフォルトでオンになっていました。

              とのことです(Androidのロック画面解除パターン/パスワード/PINを忘れた時の初期化を伴わない対処法。 [androidlover.net])。

              親コメント
              • by Anonymous Coward

                だから前提が間違ってるっつーの。

                2要素認証で防ぐのはマルウェアに感染して、端末にキーロガー等を仕込まれたり、ブラウザの画面に干渉することで不正操作されるようなネットワーク越しの攻撃なので、物理的な端末の盗難への対策として考えることが間違いなの。
                ましてや「Googleアカウントがロックを解除しなくてもわかってる端末を狙って盗まれてる」って時点で、そんな状況の対策に2認証要素とか考えるのがお話にならない。

                自宅にセコム導入しようがドアの鍵を頑丈にしようが家の外からの放火は防げないし、どれだけ暗証番号や錠前が高度な金庫だとしても金庫ごと盗まれたらアウトでしょ。それと同じ。
                2要素認証そのものが「デバイスの盗難」対策でないのだから、そこでどれだけ「2要素認証がデバイスの盗難には無力」と叫んだところで意味はない。

                デバイスの盗難対策は物理的方法(ワイヤーで固定するとか)や生体認証でのアクセス抑止、あるいは暗号化に別途キーを使う等、別の対策をとるべきであって、今回の問題と一緒くたにするのが間違ってる。

              • by Anonymous Coward

                「2要素認証がデバイスの盗難には無力」ではなく
                「2要素認証がデバイスの盗難時のリスクを上昇させる」という話であり
                「2要素認証のはずがデバイスの所持という1要素に還元できてしまう」という話ですよ?

                デバイス盗まれるって時点で相当な問題が発生しているのは確かだけど、
                認証要素数は確かに減っているし、リスクとなりうる部分なのも間違ってない。

                > どれだけ暗証番号や錠前が高度な金庫だとしても金庫ごと盗まれたらアウトでしょ。それと同じ。
                暗証番号を総当りで突破するのにかかる時間や回数ロックについては無視ですかそうですか。

        • by Anonymous Coward

          「物理的にデバイスをアクセスされてる時点でアウト」って・・・
          デバイスを盗まれたら諦めるんですか?

          携帯電話のロックって「物理的にデバイスが奪われた」場合の対策でしょうに
          何の為に遠隔初期化等の機能があると思っているんでしょうか

          • by Anonymous Coward

            遠隔初期化と二段階認証、全然関係ないやん

            二段階認証は認証時の多段ステップ確保でしかなくて、盗難及び初期化を防ぐ手段ではないよ
            それなのに二段階認証破るには盗難すれば簡単。だからGoogle悪いって、ただのキチガイやん

            • by Anonymous Coward

              まあ Printable is bad. (38668) だから、かわいそうな人を見る目で見てあげなよ
              今までの文章を見ればこの人が誇大妄想にとりつかれている人なのはわかるだろ

              • by Anonymous Coward

                Printable is bad. (38668) みたいな物言いって一見なるほど、そうなんだぁって思うけど
                よく読んでみると頓珍漢なアレゲ。こわいこわい

              • by Anonymous Coward

                具体的に反論できずに何言ってるんスかねあんたら。

                > それなのに二段階認証破るには盗難すれば簡単。だからGoogle悪いって、ただのキチガイやん
                2要素のうちの面倒くさい方だからといって、2要素が1要素になってる事に変わりはないと思いますが。

日々是ハック也 -- あるハードコアバイナリアン

処理中...