アカウント名:
パスワード:
Google アカウントだと、2段階認証という仕組み [google.com]がありますね。ユーザ名、パスワードと共に、ケータイやスマフォでGoogleから送られてくるコードを入力しないとログインできなくすると言う仕組み。
もし被害者の方がこの仕組み使ってたら今回はクラッキングを防げたでしょう。送られてくるコードはワンタイムなのでフィッシングなどに引っかかっても被害を最小限に抑える事ができます。
#と、言うのをこの騒動で初めて知った#ノビーには悪いけど思いっきり他山の石にさせてもらう
でもGmailを使っているPC自体がクラックされた場合は・・・
盗んだアカウントで直ぐにスパムメールだしたから発覚したけどそのまま盗聴だけしていた場合は・・・もっと恐い気もします。なかなか気付かないだろうからなぁ
いや、あるページでGmailへの入力経路のっとり、なら多少のことはできますが、ブラウザの起動の都度ワンタイムパスワードを入れるので、それ以上にはならないだけマシじゃない?
ちなみにGoogleのはAndroidだとアプリがコード生成できるのもあって、これを利用してます。これはサードパーティでも利用できて、自分はLastPass(Webパスワード管理)とDropbox(ストレージ)のを導入していますね。
# Googleのアカウントで認証するサービス(OpenID的なの)は、これ経由ってことになるのかな、まだ試してないや## 別件トラブル中なのでID
や、そうでした。そこはボケ言ってしまってすみません。
ただ、起動のたんびに踏むのはさすがにないだろうというのはありえるかな...?
で、ログイン情報が取られるパターンだと1. たまたま再入力時 - 最悪1月分のアクセス可能状態を取られる(ID/Pass/OTPで)2. 普段 - ID/Passを取られても使えないですし...
すごく運が悪いと1ですが、そうでなく2ならそもそもID/Pass取られても大丈夫ですし、セッションを横に取られる場合でも、重要な設定(再パスワード生成で連絡くるメールアドレスとかの設定)とかは再度入力が必要になりますし...
多少は良くなるかな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
2段階認証使ってますか? (スコア:5, 参考になる)
Google アカウントだと、2段階認証という仕組み [google.com]がありますね。ユーザ名、パスワードと共に、ケータイやスマフォでGoogleから送られてくるコードを入力しないとログインできなくすると言う仕組み。
もし被害者の方がこの仕組み使ってたら今回はクラッキングを防げたでしょう。
送られてくるコードはワンタイムなのでフィッシングなどに引っかかっても被害を最小限に抑える事ができます。
#と、言うのをこの騒動で初めて知った
#ノビーには悪いけど思いっきり他山の石にさせてもらう
Re: (スコア:0)
でもGmailを使っているPC自体がクラックされた場合は・・・
盗んだアカウントで直ぐにスパムメールだしたから発覚したけど
そのまま盗聴だけしていた場合は・・・もっと恐い気もします。なかなか気付かないだろうからなぁ
Re: (スコア:1)
いや、あるページでGmailへの入力経路のっとり、なら多少のことはできますが、ブラウザの起動の都度ワンタイムパスワードを入れるので、それ以上にはならないだけマシじゃない?
ちなみにGoogleのはAndroidだとアプリがコード生成できるのもあって、これを利用してます。
これはサードパーティでも利用できて、自分はLastPass(Webパスワード管理)とDropbox(ストレージ)のを導入していますね。
# Googleのアカウントで認証するサービス(OpenID的なの)は、これ経由ってことになるのかな、まだ試してないや
## 別件トラブル中なのでID
M-FalconSky (暑いか寒い)
Re:2段階認証使ってますか? (スコア:1)
ブラウザの起動ごとに二段階認証をおこなうと決まっているわけではないです。
Re: (スコア:0)
や、そうでした。そこはボケ言ってしまってすみません。
ただ、起動のたんびに踏むのはさすがにないだろうというのはありえるかな...?
で、ログイン情報が取られるパターンだと
1. たまたま再入力時 - 最悪1月分のアクセス可能状態を取られる(ID/Pass/OTPで)
2. 普段 - ID/Passを取られても使えない
ですし...
すごく運が悪いと1ですが、そうでなく2ならそもそもID/Pass取られても大丈夫ですし、セッションを横に取られる場合でも、重要な設定(再パスワード生成で連絡くるメールアドレスとかの設定)とかは再度入力が必要になりますし...
多少は良くなるかな。
M-FalconSky (暑いか寒い)