パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

CISA、単一要素認証をサイバーセキュリティの「バッドプラクティス」リストに追加」記事へのコメント

  • スマホ(携帯も)持ってないおじさんは肩身が狭い

    • by Anonymous Coward

      ガラケーに認証コード送られてきてたのが、スマホにアプリインストールしてそいつが生成する番号を入れろ、に変更されたサイトがありましてね。
      スマホからログインしようとするとそのスマホのアプリが生成する番号を入れろとか、何言ってんだこいつ

      • by Anonymous Coward

        SMSは安全性の問題があって、TOTPじゃないと二要素認証として認められなくなりつつあるんだよ
        日本では比較的問題になってなかったけど、eSIMの普及で海外と同じ問題が起こる可能性がある

        • by Anonymous Coward on 2021年09月05日 9時14分 (#4106379)

          不正アプリによる傍受の可能性なら、それはSMSそのものの問題じゃなくてスマホOSの問題ですし、
          発信者番号の偽装や不正転送の問題なら、それはキャリア側の問題では。

          専用アプリによるワンタイムパスワード認証にしたところでそれらは解決しないですよ。

          親コメント
          • by Anonymous Coward

            NISTがSMS認証は非推奨って言ってる。
            そもそも、不正アプリが皆OSの問題点や脆弱性を突いてる訳じゃない(SMSへのアクセス権をしれっと混ぜるだけなので)
            専用アプリなら、他のアプリから攻撃するのは難しいんじゃないかな(rootでも取られない限りは)
            アプリならキャリアの問題とやらも関係ないし。

          • by Anonymous Coward

            不正アプリ云々でなくSMSは本人に送られるとは限らない仕組みだからダメって話。
            SMSそのものの問題だよ。

            • by Anonymous Coward

              ここ教えてほしいのですが、SMSは特定のSIMを挿した端末以外にも送信される可能性がある、ということなのですか?

              • by Anonymous Coward

                SIMスワップでぐぐってみ。
                出来るし現実に問題になってるから非推奨なんだよ。

              • by Anonymous Coward

                LINEのSMS認証は突破されたことがあるな
                こっちにSMSは届いてないのに送信した、ログインされたって通知が来た

              • by Anonymous Coward

                SIMスワップは現実問題として日本では難しいのじゃないかな。
                ついでに回線の盗聴も。

                どちらかというとスマホ上でのアプリのSMSの権限の不正付与の方が問題だと思う。

              • by Anonymous Coward

                実際に日本では難しいんだとしても、今後国際標準としてSMSでのワンタイムパスワードはNGになる可能性は高い。

              • by Anonymous Coward

                それはそうかもね。
                ただ、SMS認証はお手軽という利点があるから国際標準でNGになっても現実にどこまで駆逐できるかは正直ちょっと疑問。

                技術として優れていても、技術者の思い通りにいかなかった例はたくさんあるからね。

              • by Anonymous Coward

                SMSは送信コストが高いから、できればサービス側も無くなって欲しいと思ってるはず。
                なので、駆逐も早い。

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...