パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた」記事へのコメント

  • by Anonymous Coward on 2017年12月31日 14時37分 (#3338579)

    SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?
    どこかで勘違いしてそうなのでどなたか教えてください

    • SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?

      本来そうあるべきなのですが、2要素認証の2要素目(音声通話やSMS)だけで認証突破できてしまう偽物の2要素認証を実装しているWebサービスが多いのです。

      個人向けのWebサービスの多くは、パスワードを忘れた場合のリセットコードを音声通話やSMSでも受け取れるようになるので(電話番号を登録していない場合は登録メールアドレスへの電子メールのみで受け取れる)、2要素認証を有効にするために電話番号を登録すると、安全なパスワードをきちんと管理しているケースではかえって脆弱になることがあります。

      Googleアカウントも、電話番号登録 & 2要素認証有効化している場合、ロック状態のスマートフォンを机に放置して離籍しただけで、ID≒メールアドレス を知っている知人などに簡単にアカウントを乗っ取られてしまう恐れがあります。パスワードリセットコードも2要素認証のログインコードも音声通話で受け取れる上にロック状態のスマートフォンでも着信が可能だからです。また、音声通話やSMSの通信は、必ずしも安全な方式で暗号化されるとは限らないので、傍受されるケースもあります。

      # 電話番号を登録していない場合にも、Android と連携しているアカウントの場合には、Android の設定画面 → Google → セキュリティ → ログイン → セキュリティコード に表示されるコードでパスワードリセットが可能ですが、この画面を表示するには端末のロックパスワードが必要です(画面ロックを解除している状態から操作してもパスワードや指紋/虹彩認証等が要求されます)。

      ただし、下記のようないい加減なパスワード管理をしている場合は、2要素認証を有効にした方が一般に安全です。

      • 強度の弱いパスワードを使用している。
      • パスワードを使いまわしている。
      • パスワード入力時のドメイン名確認が不十分で、フィッシング詐欺サイトにパスワードを入力してしまうかもしれない。
      • マルウェアやキーロガー、パスワード入力盗み見の被害に遭う恐れがある。

      なお、こういったサービスの場合、電話番号を登録しているが、2要素認証は有効にしていないという状態が最も危険です。

      # 電話番号登録をすると、不審なアクティビティがあったときに通知を受けられるというメリットもある上、サービスによってパスワードリセットに必要な情報は異なるので、どっちの方が安全かはサービス・ユーザーのリテラシー・携帯電話の管理方法などによって異なります。また、最近では 環境によっては Google アカウント作成時に電話番号や携帯電話のメールアドレスを入力が必須になる場合もある [satopedia.com] ようです。

      ちなみに、金融機関の2要素認証については、ほぼ全てのサービスで、パスワードリセットコードを音声通話やSMSで受け取ることが不可能(パスワードを忘れたら窓口に行ったり、書留郵便で再設定後の初期パスワードを受け取ったりする必要あり)な本当の意味での2要素認証なので、上述の問題は発生しません。

      親コメント
      • by Anonymous Coward

        電話番号登録せずに強いパスワードのほうが現実的ってことか。

        でも「強いパスワード」ってなんだ?

        • by Anonymous Coward

          "aimstroooong"

          #パロディウスだ!

      • by Anonymous Coward

        二要素認証の強みはアカウントハックを試みられた際に通知が来ることだと思う
        誰かがログイン失敗したことを知らせてくれるだけでいいんだけどさ

        • by Anonymous Coward

          そんなん別に二要素認証である必要がないだろ。
          その為の通知先指定と認証要素を兼ねさせる必然性がない。

          • by Anonymous Coward

            二要素認証でない必要もないな
            簡易なパスワードに対する強度強化って役割もないこともないさ
            一度決めたら、アカウントハックトライされるまでは変えないって指標にもなる

            • by Anonymous Coward

              日本語で書いてあるんだから読めよ。

              2要素認証の2要素目(音声通話やSMS)だけで認証突破できてしまう偽物の2要素認証を実装しているWebサービスが多い

              パスワードリセットコードも2要素認証のログインコードも音声通話で受け取れる上にロック状態のスマートフォンでも着信が可能だから

              抜け道がないことが確認できないのなら2要素ではない必要はある。しかしハック通知だけなら2要素認証である必要はない。
              抜け道があることが分かってるならハック通知のためだろうが何だろうが原則論としてNG。

    • by Anonymous Coward

      Twitterなら「パスワードを忘れた」ことにすれば、電子メールでパスワードリセットができます。
      (電子メールも大抵はSMSか何かでリセットできます)

      厳密には、二要素認証では「両方の認証に合格した場合にのみ許可し、一方だけの合格では許可しないし、
      一方に合格したことすらログイン者に教えてはならない」のですが、パスワードを忘れる人が多数居る以上、
      どうしようもないんでしょうね・・

      • by Anonymous Coward

        タレコミにある「共通線信号No.7(SS7)の脆弱性」とやらは、
        SMSの内容を盗み見れる問題らしく、例えば、ワンタイムパスワードをSMSを経由して使用する場合に
        利用できるそうです。

        実際に、その脆弱性を使用して認証コードを盗み見た例はあるのですが、

        • ユーザー名+パスワードがわからないと、(SMSで送られる)認証コードが見れても仕方がない?
        • パスワードリセットの認証コードをSMSに送ることができるが、
        • by Printable is bad. (38668) on 2017年12月31日 19時23分 (#3338633)

          (2要素認証を有効にすると、別端末からログインするときに一時的なパスワードでのログインが必要+パスワードはSMSで送られるようですが関係ある?)

          そのせいじゃないでしょうか。

          ログイン認証を使用する方法 [twitter.com]

          一時的なパスワード
          twitter.comからログイン認証をオンにした後、それ以外の端末やアプリケーションからTwitterにログインするときにパスワード入力が要求された場合は、一時的なパスワードの利用が求められます。通常のユーザー名とパスワードの組み合わせを使ってログインすることはできません。たとえば、twitter.comのアカウント設定でログイン認証をオンにした後にTwitter for Macアプリでログインする場合、仮パスワードを使用してログインしてください。
          仮パスワードでログインしなければならない場合、仮パスワードがスマートフォン(またはタブレット)にショートメールで届きます。

          試していないので確実なことは分かりませんが、「通常のユーザー名とパスワードの組み合わせを使ってログインすることはできません」とあるので、普通のパスワードに加えて SMS で送信される仮パスワードが必要なのではなく、「仮パスワード」のみでログインできるように読み取れます。

          普段2要素認証時に「パスワード」に加えて入力するコードは上記のヘルプページでは「6桁のログインコード」という言葉で表記しているようなので、「仮パスワード」は「普通のパスワード」の代わりになるものだと思われます。

          親コメント
          • ログイン認証を使用する方法 [twitter.com] の「twitter.comで一時的なパスワードを生成する方法」の部分も読んでみたところ、

            仮パスワードでログインしなければならない場合、仮パスワードがスマートフォン(またはタブレット)にショートメールで届きます。または、自分で一時的なパスワードを生成することもできます。

            5. 他の端末やアプリケーションでログイン画面が表示されたら、ユーザー名と生成された一時的なパスワードを入力します。

            注記: 一時的なパスワードの有効期間は1時間です。Twitter for iOSアプリ、Twitter for Androidアプリ、mobile.twitter.comからTwitterにログインする場合は、一時的なパスワードは必要ありません。

            とあるので、「普通のパスワード」+「6桁のログインコード」という2要素認証プロセスに対応していないレガシーアプリへの対応のための機能で、やはり「ユーザー名」+「生成された一時的なパスワード」のみでログインできてしまうようです。

            「仮パスワード」は、SMS で送られるようなので、「共通線信号No.7(SS7)の脆弱性」などで SMS を盗み見ることが可能ならばアカウントの不正利用ができてしまいます。

            親コメント

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...