アカウント名:
パスワード:
SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?どこかで勘違いしてそうなのでどなたか教えてください
SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?
本来そうあるべきなのですが、2要素認証の2要素目(音声通話やSMS)だけで認証突破できてしまう偽物の2要素認証を実装しているWebサービスが多いのです。
個人向けのWebサービスの多くは、パスワードを忘れた場合のリセットコードを音声通話やSMSでも受け取れるようになるので(電話番号を登録していない場合は登録メールアドレスへの電子メールのみで受け取れる)、2要素認証を有効にするために電話番号を登録すると、安全なパスワードをきちんと管理しているケースではかえって脆弱になる
二要素認証の強みはアカウントハックを試みられた際に通知が来ることだと思う誰かがログイン失敗したことを知らせてくれるだけでいいんだけどさ
そんなん別に二要素認証である必要がないだろ。その為の通知先指定と認証要素を兼ねさせる必然性がない。
二要素認証でない必要もないな簡易なパスワードに対する強度強化って役割もないこともないさ一度決めたら、アカウントハックトライされるまでは変えないって指標にもなる
日本語で書いてあるんだから読めよ。
2要素認証の2要素目(音声通話やSMS)だけで認証突破できてしまう偽物の2要素認証を実装しているWebサービスが多い
パスワードリセットコードも2要素認証のログインコードも音声通話で受け取れる上にロック状態のスマートフォンでも着信が可能だから
抜け道がないことが確認できないのなら2要素ではない必要はある。しかしハック通知だけなら2要素認証である必要はない。抜け道があることが分かってるならハック通知のためだろうが何だろうが原則論としてNG。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
2要素認証 (スコア:1)
SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?
どこかで勘違いしてそうなのでどなたか教えてください
2要素認証を有効にするために電話番号を登録すると、かえって脆弱になるサービスも多い (スコア:5, 参考になる)
本来そうあるべきなのですが、2要素認証の2要素目(音声通話やSMS)だけで認証突破できてしまう偽物の2要素認証を実装しているWebサービスが多いのです。
個人向けのWebサービスの多くは、パスワードを忘れた場合のリセットコードを音声通話やSMSでも受け取れるようになるので(電話番号を登録していない場合は登録メールアドレスへの電子メールのみで受け取れる)、2要素認証を有効にするために電話番号を登録すると、安全なパスワードをきちんと管理しているケースではかえって脆弱になる
Re: (スコア:0)
二要素認証の強みはアカウントハックを試みられた際に通知が来ることだと思う
誰かがログイン失敗したことを知らせてくれるだけでいいんだけどさ
Re: (スコア:0)
そんなん別に二要素認証である必要がないだろ。
その為の通知先指定と認証要素を兼ねさせる必然性がない。
Re:2要素認証を有効にするために電話番号を登録すると、かえって脆弱になるサービスも多い (スコア:0)
二要素認証でない必要もないな
簡易なパスワードに対する強度強化って役割もないこともないさ
一度決めたら、アカウントハックトライされるまでは変えないって指標にもなる
Re: (スコア:0)
日本語で書いてあるんだから読めよ。
2要素認証の2要素目(音声通話やSMS)だけで認証突破できてしまう偽物の2要素認証を実装しているWebサービスが多い
パスワードリセットコードも2要素認証のログインコードも音声通話で受け取れる上にロック状態のスマートフォンでも着信が可能だから
抜け道がないことが確認できないのなら2要素ではない必要はある。しかしハック通知だけなら2要素認証である必要はない。
抜け道があることが分かってるならハック通知のためだろうが何だろうが原則論としてNG。