アカウント名:
パスワード:
社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。
しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、
Googleにばかり矛先向けようとしてるけど、2要素認証のカギである電話まで盗んでる前提の時点で極論すぎその状態で守れないケースがあるのはむしろ自然であって批判するところではない典型的な「キチガイセキュリティ」に成り下がってるよ
新しい仕組みを提案するなら、アンチGoogle思考を捨ててもっと広い範囲に訴求したら?
「暗証番号設定してあっても携帯電話を他人が触れる状態で一定時間目を話したらアウトなのは問題」って話の何処が納得出来ないんだ。
そりゃ彼の発言は一々攻撃的ではあるけど、攻撃的で相容れないかどうかと正しいかどうかは別の話だぞ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
Google アカウント等は2段階認証を有効にするとかえって脆弱になることも(ソーシャルハッキング) (スコア:4, 参考になる)
社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。
しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、
Re: (スコア:2, 興味深い)
Googleにばかり矛先向けようとしてるけど、2要素認証のカギである電話まで盗んでる前提の時点で極論すぎ
その状態で守れないケースがあるのはむしろ自然であって批判するところではない
典型的な「キチガイセキュリティ」に成り下がってるよ
新しい仕組みを提案するなら、アンチGoogle思考を捨ててもっと広い範囲に訴求したら?
Re:Google アカウント等は2段階認証を有効にするとかえって脆弱になることも(ソーシャルハッキ (スコア:0)
「暗証番号設定してあっても携帯電話を他人が触れる状態で一定時間目を話したらアウトなのは問題」
って話の何処が納得出来ないんだ。
そりゃ彼の発言は一々攻撃的ではあるけど、攻撃的で相容れないかどうかと正しいかどうかは別の話だぞ。