パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた」記事へのコメント

  • by Anonymous Coward

    SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?
    どこかで勘違いしてそうなのでどなたか教えてください

    • SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?

      本来そうあるべきなのですが、2要素認証の2要素目(音声通話やSMS)だけで認証突破できてしまう偽物の2要素認証を実装しているWebサービスが多いのです。

      個人向けのWebサービスの多くは、パスワードを忘れた場合のリセットコードを音声通話やSMSでも受け取れるようになるので(電話番号を登録していない場合は登録メールアドレスへの電子メールのみで受け取れる)、2要素認証を有効にするために電話番号を登録すると、安全なパスワードをきちんと管理しているケースではかえって脆弱になる

      • by Anonymous Coward

        二要素認証の強みはアカウントハックを試みられた際に通知が来ることだと思う
        誰かがログイン失敗したことを知らせてくれるだけでいいんだけどさ

        • by Anonymous Coward

          そんなん別に二要素認証である必要がないだろ。
          その為の通知先指定と認証要素を兼ねさせる必然性がない。

          • 二要素認証でない必要もないな
            簡易なパスワードに対する強度強化って役割もないこともないさ
            一度決めたら、アカウントハックトライされるまでは変えないって指標にもなる

            親コメント
            • by Anonymous Coward

              日本語で書いてあるんだから読めよ。

              2要素認証の2要素目(音声通話やSMS)だけで認証突破できてしまう偽物の2要素認証を実装しているWebサービスが多い

              パスワードリセットコードも2要素認証のログインコードも音声通話で受け取れる上にロック状態のスマートフォンでも着信が可能だから

              抜け道がないことが確認できないのなら2要素ではない必要はある。しかしハック通知だけなら2要素認証である必要はない。
              抜け道があることが分かってるならハック通知のためだろうが何だろうが原則論としてNG。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...