アカウント名:
パスワード:
米国の場合、このスレッドのように人間が介在するケースではなくても、SMSのメッセージの横取りの可能性が残る携帯ネットワーク構成となっているため、SMSを使った二段階認証は非推奨という話が依然からありました。この記事です。 https://japan.zdnet.com/article/35095393/ [zdnet.com]
日本国内の携帯ネットワークであればショートメッセージの横取りは難しいという話だったと思いますがこのようにキャリアの人間が関与するケースではリスクがあ
タレコミ元を読めばわかると思いますが、本件はキャリアの人間が「SMSを配送経路で盗聴した」のではなく「不正なアクセス権を犯罪者に与えた」と言うべきものなので、暗号化は関係ないオフトピっすね。
ちなみにSMSによる二段階認証は海外のSMSゲートウエイを使っていることが多いので、国内の経路が安全だからといって安心はできないです。
SMSじゃなくて、音声でお知らせしてくる方だったら安心なんですかね?Googleの二段階認証を音声にしてるんだけど、「発信元:アメリカ合衆国」って出るから最初は大統領かと思っt。
SMS盗聴はそうかもしれませんが、今回話題のSIMハイジャックをやられたら、電話番号が盗まれてるのでもう万事休すかと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
end to end での認証に限定するしか (スコア:0)
米国の場合、このスレッドのように人間が介在するケースではなくても、
SMSのメッセージの横取りの可能性が残る携帯ネットワーク構成となっているため、
SMSを使った二段階認証は非推奨という話が依然からありました。
この記事です。
https://japan.zdnet.com/article/35095393/ [zdnet.com]
日本国内の携帯ネットワークであればショートメッセージの横取りは難しいという話だったと思いますが
このようにキャリアの人間が関与するケースではリスクがあ
Re: (スコア:0)
タレコミ元を読めばわかると思いますが、本件はキャリアの人間が「SMSを配送経路で盗聴した」のではなく「不正なアクセス権を犯罪者に与えた」と言うべきものなので、暗号化は関係ないオフトピっすね。
ちなみにSMSによる二段階認証は海外のSMSゲートウエイを使っていることが多いので、国内の経路が安全だからといって安心はできないです。
Re:end to end での認証に限定するしか (スコア:0)
SMSじゃなくて、音声でお知らせしてくる方だったら安心なんですかね?
Googleの二段階認証を音声にしてるんだけど、「発信元:アメリカ合衆国」って出るから最初は大統領かと思っt。
Re: (スコア:0)
SMS盗聴はそうかもしれませんが、今回話題のSIMハイジャックをやられたら、電話番号が盗まれてるのでもう万事休すかと。