パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SMSを使った2要素認証を不許可へ、NISTの新ガイダンス案」記事へのコメント

  • 社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。

    しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、

    • Re: (スコア:2, 興味深い)

      by Anonymous Coward

      Googleにばかり矛先向けようとしてるけど、2要素認証のカギである電話まで盗んでる前提の時点で極論すぎ
      その状態で守れないケースがあるのはむしろ自然であって批判するところではない
      典型的な「キチガイセキュリティ」に成り下がってるよ

      新しい仕組みを提案するなら、アンチGoogle思考を捨ててもっと広い範囲に訴求したら?

      • by Anonymous Coward

        ほんとそれ。物理的にデバイスをアクセスされてる時点でアウトでしょ。
        「PCに物理アクセスされたら終わり」「銀行のワンタイムパスワード生成器を盗まれたら終わり」と言ってるのと何も変わらないよねえ。
        セキュリティネタは脅すだけでホイホイとプラスモデはいるんでマジ釣り堀だわ。

        • 「物理的にデバイスをアクセスされてる時点でアウト」って・・・
          デバイスを盗まれたら諦めるんですか?

          携帯電話のロックって「物理的にデバイスが奪われた」場合の対策でしょうに
          何の為に遠隔初期化等の機能があると思っているんでしょうか

          親コメント
          • by Anonymous Coward

            遠隔初期化と二段階認証、全然関係ないやん

            二段階認証は認証時の多段ステップ確保でしかなくて、盗難及び初期化を防ぐ手段ではないよ
            それなのに二段階認証破るには盗難すれば簡単。だからGoogle悪いって、ただのキチガイやん

            • by Anonymous Coward

              まあ Printable is bad. (38668) だから、かわいそうな人を見る目で見てあげなよ
              今までの文章を見ればこの人が誇大妄想にとりつかれている人なのはわかるだろ

              • by Anonymous Coward

                Printable is bad. (38668) みたいな物言いって一見なるほど、そうなんだぁって思うけど
                よく読んでみると頓珍漢なアレゲ。こわいこわい

              • by Anonymous Coward

                具体的に反論できずに何言ってるんスかねあんたら。

                > それなのに二段階認証破るには盗難すれば簡単。だからGoogle悪いって、ただのキチガイやん
                2要素のうちの面倒くさい方だからといって、2要素が1要素になってる事に変わりはないと思いますが。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...