パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

楽天をターゲットにしたフィッシングサイト広告が乱立。二要素認証未対応も一因?」記事へのコメント

  • ある程度IT知識がある人向けのスラドでも「二要素認証未対応も一因?」なんて書いちゃうんだね。

    ネット銀行の2段階認証を突破 不正送金の巧妙な手口
    https://style.nikkei.com/article/DGXMZO56375530U0A300C2000000/ [nikkei.com]

    SMSでワンタイムコードを送るタイプであっても、時刻ベースのワンタイムパスワード(TOTP)であっても、フィッシング対策にはなりません。
    何故ならば、フィッシング詐欺サイトが通信をプロキシして、正規サイトとの間を中継すれば回避できるからです。

    「二段階認証しているから大丈夫だ」とドメイン名の確認を怠ると、フィッシング詐欺にかえって騙されやすくなります。
    フィッシング詐欺対策に必要なのは、とにかくドメイン名の確認です。

    なお、楽天は、

    https://www.rakuten.co.jp/ [rakuten.co.jp] からロ

    • 情報が古いですね。

      二要素認証のうち、SMSやTOTPを用いたものは確かにフィッシングに対し脆弱ですが、FIDO U2FやWebAuthnと呼ばれる認証方法はドメイン名が変わると認証されない仕組みになっているので、フィッシングをほぼ確実に防止することができます。

      特にWebAuthnではWebAuthn単体で二要素認証が完結し、パスワードそのものを廃止することも可能です。
      例えば、USB接続のセキュリティーキー + PINで所有認証 + 知識認証、パソコン内のTPMチップと指紋で所有認証 + 生体認証といった風にWebAuthnのみで二要素がそろう仕組みになっています。

      このようにフィッシングをほぼ根絶

      • by Anonymous Coward

        何度も言われてるけど日本在住の一般人(逸般人除く)がハードウェアキーを手に入れる方法がハードル高すぎ。
        ・GoogleStore→マイナーな上に配送がDHLなので海外からの荷物受け取りの経験ないと詰む
        ・Amazon→怪しい並行輸入業者が横行してて一般人には判別困難
        ・Yubico→英語、米ドル建て、DHL

        国内の量販店(ヤマダとかケーズデンキとか)で売ってるとか、クロネコヤマトやゆうパックで配送するレベルにならないと一般人には厳しいのが現実。

        #もう政府で全国民分買って配るか

        • by Anonymous Coward

          #4270109にスマホやPC単体で認証できるのでハードウェアキーは必須ではない旨書いたんですけど…
          「ちなみに~」以降の部分です。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...