パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SMSを使った2要素認証を不許可へ、NISTの新ガイダンス案」記事へのコメント

  • 社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。

    しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、

    • Re: (スコア:2, 興味深い)

      by Anonymous Coward

      Googleにばかり矛先向けようとしてるけど、2要素認証のカギである電話まで盗んでる前提の時点で極論すぎ
      その状態で守れないケースがあるのはむしろ自然であって批判するところではない
      典型的な「キチガイセキュリティ」に成り下がってるよ

      新しい仕組みを提案するなら、アンチGoogle思考を捨ててもっと広い範囲に訴求したら?

      • by Anonymous Coward

        ほんとそれ。物理的にデバイスをアクセスされてる時点でアウトでしょ。
        「PCに物理アクセスされたら終わり」「銀行のワンタイムパスワード生成器を盗まれたら終わり」と言ってるのと何も変わらないよねえ。
        セキュリティネタは脅すだけでホイホイとプラスモデはいるんでマジ釣り堀だわ。

        • 物理的にデバイスをアクセスされてる時点でアウトでしょ。
          「PCに物理アクセスされたら終わり」「銀行のワンタイムパスワード生成器を盗まれたら終わり」と言ってるのと何も変わらないよねえ。

          仮に、銀行のワンタイムパスワード生成器を盗まれたとしても、IDとパスワードが盗まれない限りアカウントへの不正アクセスはできません。「パスワード」と「物理トークン」の2要素で認証しているため、そのうちの1つだけが盗まれても安全が確保されるわけです。物理トークンだけで、パスワードの再登録が可能な銀行は存在しないのでは?

          更に、みずほ銀行やゆうちょ

          • それは「端末にセキュリティーロックをかけてない」という別の問題を無視してるんじゃない?

            一般的なAndroid端末はセキュリティーロックがかかった状態ではGoogleアカウントだけでは解除できないし、セキュリティーロックがかかっていなければアカウント乗っ取り云々以前にGmail等にダイレクトにアクセスできるもん。

            2段階認証って「通信の途中経路や、端末に入ったマルウェアへの対策」なので、Googleアカウントが判ってる状態でのデバイス盗難みたいなケースへの対策は、そもそも2段階認証をする目的に入ってないと思うけど。

            • 一般的なAndroid端末はセキュリティーロックがかかった状態ではGoogleアカウントだけでは解除できないし、セキュリティーロックがかかっていなければアカウント乗っ取り云々以前にGmail等にダイレクトにアクセスできるもん。

              比較的新しめの Android 端末であれば、Google アカウントにログインできれば、Webから Android デバイス マネージャー [google.com] にアクセスすることで、端末のセキュリティロックを上書き(別のパスワードやPINに変更)できますよ。

              そのため、正しい使い方としては、端末のロック解除パスワードを忘れた場合でも、Google アカウントにログインできればロック解除が可能です。悪用する立場からすれば、Google アカウントにログインさえできれば、端末のロックを解除できてしまいます。

              また、ロックがかかっていても、電話の着信は可能なので、自動音声通話により OTP を受け取ることができます。

              Android の「リモートでのロックとデータ消去を許可する」がオンになっている必要がありますが、

              Nexus5、Nexus6、Nexus7(2013) Wi-Fiモデル、Nexus7(2013) LTEモデル、Nexus9で確認したところ全てデフォルトでオンになっていました。

              とのことです(Androidのロック画面解除パターン/パスワード/PINを忘れた時の初期化を伴わない対処法。 [androidlover.net])。

              親コメント
              • by Anonymous Coward

                だから前提が間違ってるっつーの。

                2要素認証で防ぐのはマルウェアに感染して、端末にキーロガー等を仕込まれたり、ブラウザの画面に干渉することで不正操作されるようなネットワーク越しの攻撃なので、物理的な端末の盗難への対策として考えることが間違いなの。
                ましてや「Googleアカウントがロックを解除しなくてもわかってる端末を狙って盗まれてる」って時点で、そんな状況の対策に2認証要素とか考えるのがお話にならない。

                自宅にセコム導入しようがドアの鍵を頑丈にしようが家の外からの放火は防げないし、どれだけ暗証番号や錠前が高度な金庫だとしても金庫ごと盗まれたらアウトでしょ。それと同じ。
                2要素認証そのものが「デバイスの盗難」対策でないのだから、そこでどれだけ「2要素認証がデバイスの盗難には無力」と叫んだところで意味はない。

                デバイスの盗難対策は物理的方法(ワイヤーで固定するとか)や生体認証でのアクセス抑止、あるいは暗号化に別途キーを使う等、別の対策をとるべきであって、今回の問題と一緒くたにするのが間違ってる。

              • by Anonymous Coward

                「2要素認証がデバイスの盗難には無力」ではなく
                「2要素認証がデバイスの盗難時のリスクを上昇させる」という話であり
                「2要素認証のはずがデバイスの所持という1要素に還元できてしまう」という話ですよ?

                デバイス盗まれるって時点で相当な問題が発生しているのは確かだけど、
                認証要素数は確かに減っているし、リスクとなりうる部分なのも間違ってない。

                > どれだけ暗証番号や錠前が高度な金庫だとしても金庫ごと盗まれたらアウトでしょ。それと同じ。
                暗証番号を総当りで突破するのにかかる時間や回数ロックについては無視ですかそうですか。

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...