アカウント名:
パスワード:
スマホ(携帯も)持ってないおじさんは肩身が狭い
ガラケーに認証コード送られてきてたのが、スマホにアプリインストールしてそいつが生成する番号を入れろ、に変更されたサイトがありましてね。スマホからログインしようとするとそのスマホのアプリが生成する番号を入れろとか、何言ってんだこいつ
〉スマホからログインしようとするとそのスマホのアプリが生成する番号を入れろとか、何言ってんだこいつ
あーありますよねそういうサービススマホが乗っ取られたら意味ないじゃんと思いつつも使ってますよ二要素認証は異なるデバイスで生成したコードを入力させるようにして欲しい
二要素認証は異なるデバイスで生成したコードを入力させるようにして欲しい
二「要素」認証なので、そこまでは要求されていないからね。
SMSは安全性の問題があって、TOTPじゃないと二要素認証として認められなくなりつつあるんだよ日本では比較的問題になってなかったけど、eSIMの普及で海外と同じ問題が起こる可能性がある
不正アプリによる傍受の可能性なら、それはSMSそのものの問題じゃなくてスマホOSの問題ですし、発信者番号の偽装や不正転送の問題なら、それはキャリア側の問題では。
専用アプリによるワンタイムパスワード認証にしたところでそれらは解決しないですよ。
NISTがSMS認証は非推奨って言ってる。そもそも、不正アプリが皆OSの問題点や脆弱性を突いてる訳じゃない(SMSへのアクセス権をしれっと混ぜるだけなので)専用アプリなら、他のアプリから攻撃するのは難しいんじゃないかな(rootでも取られない限りは)アプリならキャリアの問題とやらも関係ないし。
不正アプリ云々でなくSMSは本人に送られるとは限らない仕組みだからダメって話。SMSそのものの問題だよ。
ここ教えてほしいのですが、SMSは特定のSIMを挿した端末以外にも送信される可能性がある、ということなのですか?
SIMスワップでぐぐってみ。出来るし現実に問題になってるから非推奨なんだよ。
LINEのSMS認証は突破されたことがあるなこっちにSMSは届いてないのに送信した、ログインされたって通知が来た
SIMスワップは現実問題として日本では難しいのじゃないかな。ついでに回線の盗聴も。
どちらかというとスマホ上でのアプリのSMSの権限の不正付与の方が問題だと思う。
実際に日本では難しいんだとしても、今後国際標準としてSMSでのワンタイムパスワードはNGになる可能性は高い。
それはそうかもね。ただ、SMS認証はお手軽という利点があるから国際標準でNGになっても現実にどこまで駆逐できるかは正直ちょっと疑問。
技術として優れていても、技術者の思い通りにいかなかった例はたくさんあるからね。
SMSは送信コストが高いから、できればサービス側も無くなって欲しいと思ってるはず。なので、駆逐も早い。
スマホにアプリインストールしてそいつが生成する番号を入れろ
SMBCがそんなんだった
HWトークンとかドングルとかにしてもらえばいい。ぜんぜん肩身は狭くない。
スマホそっくりでスマホと同じ料金がかかるHWトークンになるかもしれないけど、そこは自分の認識を歪めれば大丈夫。
銀行は、もしスマホの故障やメアドの変更とかで、インターネットサービスが使えなくなっても、最悪リアルなATMや店舗っていうバックアップがあるが、インターネットはバックアップなしでアカウント永久に使えなくなったりするからな
バックアップとっとけばいいじゃん。多要素(というか三要素以上使うの知らんけど)だと大抵バックアップキー発行されるだろ。それにOTPならスマホ以外でも生成可能なように秘密鍵を管理しておけばいい。OTPはパスワード管理ツールでバックアップキーと秘密鍵を管理、OTPの生成はスマホとPCと両方で可能なようにしてる。パスワード管理ツールもバックアップあるからPCとスマホの両方同時に失ってもなんとかなる。OTPでないのはこれが出来ないので困りもの。eBay、Yahoo、お前らだよ。
この手のバックアップキー/情報をどのようにして保存したらいいのか毎回悩む
プリントアウトしてスマホカバーに挟んでおく
それだとスマホなくしたときにはバックアップからの復元ができないのでは?加えてなくしたときに他人にバックアップから復元される危険性も
ネタにマジレス?
昔はキーホルダー式のトークンだったのに、スマホに移行しろって案内が来たんだ…orz
# PayPay銀行のことです# https://www.japannetbank.co.jp/token/switch/01.html [japannetbank.co.jp]
え、二週間ぐらい前に勝手にカード型トークン送られてきたよ。
#厚みまでクレジットカードサイズなのに電池内蔵。ディスプレイは電子ペーパー
個人口座は1000円で新トークンが送られて来ますよ
利用状況次第では、#4106191のように ハードウェアトークン (カード型) が送られてくるらしい。このカードがまたぺらぺらで、いかにも耐久性なさそうな感触のうえ、その表面のボタンを押さないと数字が表示されないという。ソフトウェアトークンのほうでも、やらかしてるし。https://help.japannetbank.co.jp/hc/ja/articles/900001941503 [japannetbank.co.jp]
完全撤退まではしませんが、口座金額の9割を移動させましたとも。正直、不安しかありません。
「スマホしか対応してません。嫌なら使うな。」で終了ですな。ついでにスマホ紛失時などの復旧手段も結局はパスコードだったりする。
会社ならパスワード+社員証、オンラインバンクならパスワード+ICカード入キャッシュカードかな。
社員証忘れたらパソコン使えなくなるけど
PC使えない以前に社員証忘れたら入館出来ないとこが大半じゃないか。
忘れたら臨時社員証とか臨時入館カードがある
でも社員証とは違うIDで開いているからID認証機能付きコピー機には使えず手動でパスワード入れないと印刷できない。
スマフォもケータイも持ってるんですけど、仕事でアクセスするサイトが二段階認証しかダメで仕事なのに個人のスマフォで認証はダメでしょ!と、ドングルと言っていいのかな yubikey ってのを買いましたよ。個人のスマフォを含んで登録すると属人化しそうなのでどうしたものかと小一時間悩みました。選択肢に yubikey があってよかったです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
二段階認証を強いられているんだ (スコア:1)
スマホ(携帯も)持ってないおじさんは肩身が狭い
Re:二段階認証を強いられているんだ (スコア:1)
ガラケーに認証コード送られてきてたのが、スマホにアプリインストールしてそいつが生成する番号を入れろ、に変更されたサイトがありましてね。
スマホからログインしようとするとそのスマホのアプリが生成する番号を入れろとか、何言ってんだこいつ
Re:二段階認証を強いられているんだ (スコア:1)
〉スマホからログインしようとするとそのスマホのアプリが生成する番号を入れろとか、何言ってんだこいつ
あーありますよねそういうサービス
スマホが乗っ取られたら意味ないじゃんと思いつつも使ってますよ
二要素認証は異なるデバイスで生成したコードを入力させるようにして欲しい
Re: (スコア:0)
二要素認証は異なるデバイスで生成したコードを入力させるようにして欲しい
二「要素」認証なので、そこまでは要求されていないからね。
Re: (スコア:0)
SMSは安全性の問題があって、TOTPじゃないと二要素認証として認められなくなりつつあるんだよ
日本では比較的問題になってなかったけど、eSIMの普及で海外と同じ問題が起こる可能性がある
Re: (スコア:0)
不正アプリによる傍受の可能性なら、それはSMSそのものの問題じゃなくてスマホOSの問題ですし、
発信者番号の偽装や不正転送の問題なら、それはキャリア側の問題では。
専用アプリによるワンタイムパスワード認証にしたところでそれらは解決しないですよ。
Re: (スコア:0)
NISTがSMS認証は非推奨って言ってる。
そもそも、不正アプリが皆OSの問題点や脆弱性を突いてる訳じゃない(SMSへのアクセス権をしれっと混ぜるだけなので)
専用アプリなら、他のアプリから攻撃するのは難しいんじゃないかな(rootでも取られない限りは)
アプリならキャリアの問題とやらも関係ないし。
Re: (スコア:0)
不正アプリ云々でなくSMSは本人に送られるとは限らない仕組みだからダメって話。
SMSそのものの問題だよ。
Re: (スコア:0)
ここ教えてほしいのですが、SMSは特定のSIMを挿した端末以外にも送信される可能性がある、ということなのですか?
Re: (スコア:0)
SIMスワップでぐぐってみ。
出来るし現実に問題になってるから非推奨なんだよ。
Re: (スコア:0)
LINEのSMS認証は突破されたことがあるな
こっちにSMSは届いてないのに送信した、ログインされたって通知が来た
Re: (スコア:0)
SIMスワップは現実問題として日本では難しいのじゃないかな。
ついでに回線の盗聴も。
どちらかというとスマホ上でのアプリのSMSの権限の不正付与の方が問題だと思う。
Re: (スコア:0)
実際に日本では難しいんだとしても、今後国際標準としてSMSでのワンタイムパスワードはNGになる可能性は高い。
Re: (スコア:0)
それはそうかもね。
ただ、SMS認証はお手軽という利点があるから国際標準でNGになっても現実にどこまで駆逐できるかは正直ちょっと疑問。
技術として優れていても、技術者の思い通りにいかなかった例はたくさんあるからね。
Re: (スコア:0)
SMSは送信コストが高いから、できればサービス側も無くなって欲しいと思ってるはず。
なので、駆逐も早い。
Re: (スコア:0)
スマホにアプリインストールしてそいつが生成する番号を入れろ
SMBCがそんなんだった
Re: (スコア:0)
HWトークンとかドングルとかにしてもらえばいい。
ぜんぜん肩身は狭くない。
スマホそっくりでスマホと同じ料金がかかるHWトークンになるかも
しれないけど、そこは自分の認識を歪めれば大丈夫。
Re: (スコア:0)
銀行は、もしスマホの故障やメアドの変更とかで、インターネットサービスが使えなくなっても、
最悪リアルなATMや店舗っていうバックアップがあるが、
インターネットはバックアップなしでアカウント永久に使えなくなったりするからな
Re: (スコア:0)
バックアップとっとけばいいじゃん。
多要素(というか三要素以上使うの知らんけど)だと大抵バックアップキー発行されるだろ。
それにOTPならスマホ以外でも生成可能なように秘密鍵を管理しておけばいい。
OTPはパスワード管理ツールでバックアップキーと秘密鍵を管理、OTPの生成はスマホとPCと両方で可能なようにしてる。
パスワード管理ツールもバックアップあるからPCとスマホの両方同時に失ってもなんとかなる。
OTPでないのはこれが出来ないので困りもの。eBay、Yahoo、お前らだよ。
Re: (スコア:0)
この手のバックアップキー/情報をどのようにして保存したらいいのか毎回悩む
Re: (スコア:0)
プリントアウトしてスマホカバーに挟んでおく
Re: (スコア:0)
それだとスマホなくしたときにはバックアップからの復元ができないのでは?
加えてなくしたときに他人にバックアップから復元される危険性も
ネタにマジレス?
Re: (スコア:0)
昔はキーホルダー式のトークンだったのに、
スマホに移行しろって案内が来たんだ…orz
# PayPay銀行のことです
# https://www.japannetbank.co.jp/token/switch/01.html [japannetbank.co.jp]
Re: (スコア:0)
え、二週間ぐらい前に勝手にカード型トークン送られてきたよ。
#厚みまでクレジットカードサイズなのに電池内蔵。ディスプレイは電子ペーパー
Re: (スコア:0)
個人口座は1000円で新トークンが送られて来ますよ
Re: (スコア:0)
利用状況次第では、#4106191のように ハードウェアトークン (カード型) が送られてくるらしい。
このカードがまたぺらぺらで、いかにも耐久性なさそうな感触のうえ、その表面のボタンを押さないと数字が表示されないという。
ソフトウェアトークンのほうでも、やらかしてるし。
https://help.japannetbank.co.jp/hc/ja/articles/900001941503 [japannetbank.co.jp]
完全撤退まではしませんが、口座金額の9割を移動させましたとも。正直、不安しかありません。
Re: (スコア:0)
「スマホしか対応してません。嫌なら使うな。」で終了ですな。
ついでにスマホ紛失時などの復旧手段も結局はパスコードだったりする。
Re: (スコア:0)
会社ならパスワード+社員証、オンラインバンクならパスワード+ICカード入キャッシュカードかな。
社員証忘れたらパソコン使えなくなるけど
Re: (スコア:0)
PC使えない以前に社員証忘れたら入館出来ないとこが大半じゃないか。
Re: (スコア:0)
忘れたら臨時社員証とか臨時入館カードがある
でも社員証とは違うIDで開いているからID認証機能付きコピー機には使えず
手動でパスワード入れないと印刷できない。
Re: (スコア:0)
スマフォもケータイも持ってるんですけど、仕事でアクセスするサイトが二段階認証しかダメで仕事なのに個人のスマフォで認証はダメでしょ!と、ドングルと言っていいのかな yubikey ってのを買いましたよ。個人のスマフォを含んで登録すると属人化しそうなのでどうしたものかと小一時間悩みました。選択肢に yubikey があってよかったです。