一時的なパスワード
twitter.comからログイン認証をオンにした後、それ以外の端末やアプリケーションからTwitterにログインするときにパスワード入力が要求された場合は、一時的なパスワードの利用が求められます。通常のユーザー名とパスワードの組み合わせを使ってログインすることはできません。たとえば、twitter.comのアカウント設定でログイン認証をオンにした後にTwitter for Macアプリでログインする場合、仮パスワードを使用してログインしてください。
仮パスワードでログインしなければならない場合、仮パスワードがスマートフォン(またはタブレット)にショートメールで届きます。
2要素認証 (スコア:1)
SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?
どこかで勘違いしてそうなのでどなたか教えてください
Re: (スコア:0)
Twitterなら「パスワードを忘れた」ことにすれば、電子メールでパスワードリセットができます。
(電子メールも大抵はSMSか何かでリセットできます)
厳密には、二要素認証では「両方の認証に合格した場合にのみ許可し、一方だけの合格では許可しないし、
一方に合格したことすらログイン者に教えてはならない」のですが、パスワードを忘れる人が多数居る以上、
どうしようもないんでしょうね・・
Re: (スコア:0)
タレコミにある「共通線信号No.7(SS7)の脆弱性」とやらは、
SMSの内容を盗み見れる問題らしく、例えば、ワンタイムパスワードをSMSを経由して使用する場合に
利用できるそうです。
実際に、その脆弱性を使用して認証コードを盗み見た例はあるのですが、
Re:2要素認証 (スコア:2)
そのせいじゃないでしょうか。
ログイン認証を使用する方法 [twitter.com]
試していないので確実なことは分かりませんが、「通常のユーザー名とパスワードの組み合わせを使ってログインすることはできません」とあるので、普通のパスワードに加えて SMS で送信される仮パスワードが必要なのではなく、「仮パスワード」のみでログインできるように読み取れます。
普段2要素認証時に「パスワード」に加えて入力するコードは上記のヘルプページでは「6桁のログインコード」という言葉で表記しているようなので、「仮パスワード」は「普通のパスワード」の代わりになるものだと思われます。
レガシーアプリへの対応で脆弱になってる模様 (スコア:4, 参考になる)
ログイン認証を使用する方法 [twitter.com] の「twitter.comで一時的なパスワードを生成する方法」の部分も読んでみたところ、
とあるので、「普通のパスワード」+「6桁のログインコード」という2要素認証プロセスに対応していないレガシーアプリへの対応のための機能で、やはり「ユーザー名」+「生成された一時的なパスワード」のみでログインできてしまうようです。
「仮パスワード」は、SMS で送られるようなので、「共通線信号No.7(SS7)の脆弱性」などで SMS を盗み見ることが可能ならばアカウントの不正利用ができてしまいます。