パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた」記事へのコメント

  • by Anonymous Coward

    SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?
    どこかで勘違いしてそうなのでどなたか教えてください

    • SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?

      本来そうあるべきなのですが、2要素認証の2要素目(音声通話やSMS)だけで認証突破できてしまう偽物の2要素認証を実装しているWebサービスが多いのです。

      個人向けのWebサービスの多くは、パスワードを忘れた場合のリセットコードを音声通話やSMSでも受け取れるようになるので(電話番号を登録していない場合は登録メールアドレスへの電子メールのみで受け取れる)、2要素認証を有効にするために電話番号を登録すると、安全なパスワードをきちんと管理しているケースではかえって脆弱になることがあります。

      Googleアカウントも、電話番号登録 & 2要素認証有効化している場合、ロック状態のスマートフォンを机に放置して離籍しただけで、ID≒メールアドレス を知っている知人などに簡単にアカウントを乗っ取られてしまう恐れがあります。パスワードリセットコードも2要素認証のログインコードも音声通話で受け取れる上にロック状態のスマートフォンでも着信が可能だからです。また、音声通話やSMSの通信は、必ずしも安全な方式で暗号化されるとは限らないので、傍受されるケースもあります。

      # 電話番号を登録していない場合にも、Android と連携しているアカウントの場合には、Android の設定画面 → Google → セキュリティ → ログイン → セキュリティコード に表示されるコードでパスワードリセットが可能ですが、この画面を表示するには端末のロックパスワードが必要です(画面ロックを解除している状態から操作してもパスワードや指紋/虹彩認証等が要求されます)。

      ただし、下記のようないい加減なパスワード管理をしている場合は、2要素認証を有効にした方が一般に安全です。

      • 強度の弱いパスワードを使用している。
      • パスワードを使いまわしている。
      • パスワード入力時のドメイン名確認が不十分で、フィッシング詐欺サイトにパスワードを入力してしまうかもしれない。
      • マルウェアやキーロガー、パスワード入力盗み見の被害に遭う恐れがある。

      なお、こういったサービスの場合、電話番号を登録しているが、2要素認証は有効にしていないという状態が最も危険です。

      # 電話番号登録をすると、不審なアクティビティがあったときに通知を受けられるというメリットもある上、サービスによってパスワードリセットに必要な情報は異なるので、どっちの方が安全かはサービス・ユーザーのリテラシー・携帯電話の管理方法などによって異なります。また、最近では 環境によっては Google アカウント作成時に電話番号や携帯電話のメールアドレスを入力が必須になる場合もある [satopedia.com] ようです。

      ちなみに、金融機関の2要素認証については、ほぼ全てのサービスで、パスワードリセットコードを音声通話やSMSで受け取ることが不可能(パスワードを忘れたら窓口に行ったり、書留郵便で再設定後の初期パスワードを受け取ったりする必要あり)な本当の意味での2要素認証なので、上述の問題は発生しません。

      親コメント
      • by Anonymous Coward

        電話番号登録せずに強いパスワードのほうが現実的ってことか。

        でも「強いパスワード」ってなんだ?

        • by Anonymous Coward

          "aimstroooong"

          #パロディウスだ!

      • by Anonymous Coward

        二要素認証の強みはアカウントハックを試みられた際に通知が来ることだと思う
        誰かがログイン失敗したことを知らせてくれるだけでいいんだけどさ

        • by Anonymous Coward

          そんなん別に二要素認証である必要がないだろ。
          その為の通知先指定と認証要素を兼ねさせる必然性がない。

          • by Anonymous Coward

            二要素認証でない必要もないな
            簡易なパスワードに対する強度強化って役割もないこともないさ
            一度決めたら、アカウントハックトライされるまでは変えないって指標にもなる

            • by Anonymous Coward

              日本語で書いてあるんだから読めよ。

              2要素認証の2要素目(音声通話やSMS)だけで認証突破できてしまう偽物の2要素認証を実装しているWebサービスが多い

              パスワードリセットコードも2要素認証のログインコードも音声通話で受け取れる上にロック状態のスマートフォンでも着信が可能だから

              抜け道がないことが確認できないのなら2要素ではない必要はある。しかしハック通知だけなら2要素認証である必要はない。
              抜け道があることが分かってるならハック通知のためだろうが何だろうが原則論としてNG。

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...