アカウント名:
パスワード:
ある程度IT知識がある人向けのスラドでも「二要素認証未対応も一因?」なんて書いちゃうんだね。
ネット銀行の2段階認証を突破 不正送金の巧妙な手口 https://style.nikkei.com/article/DGXMZO56375530U0A300C2000000/ [nikkei.com]
SMSでワンタイムコードを送るタイプであっても、時刻ベースのワンタイムパスワード(TOTP)であっても、フィッシング対策にはなりません。何故ならば、フィッシング詐欺サイトが通信をプロキシして、正規サイトとの間を中継すれば回避できるからです。
「二段階認証しているから大丈夫だ」とドメイン名の確認を怠ると、フィッシング詐欺にかえって騙されやすくなります。フィッシング詐欺対策に必要なのは、とにかくドメイン名の確認です。
なお、楽天は、
https://www.rakuten.co.jp/ [rakuten.co.jp] からロ
情報が古いですね。
二要素認証のうち、SMSやTOTPを用いたものは確かにフィッシングに対し脆弱ですが、FIDO U2FやWebAuthnと呼ばれる認証方法はドメイン名が変わると認証されない仕組みになっているので、フィッシングをほぼ確実に防止することができます。
特にWebAuthnではWebAuthn単体で二要素認証が完結し、パスワードそのものを廃止することも可能です。例えば、USB接続のセキュリティーキー + PINで所有認証 + 知識認証、パソコン内のTPMチップと指紋で所有認証 + 生体認証といった風にWebAuthnのみで二要素がそろう仕組みになっています。
このようにフィッシングをほぼ根絶
ちなみに、YahooJAPANはWebAuthnに対応してますね。2018年10月にスマホでの生態認証ログイン対応を始めて、順次利用可能範囲を広げていき、2021年12月からPCブラウザでも対応しました。 [yahoo.co.jp]
ただ、Yahooが悪いわけじゃ無いけど、Windows Hello のPIN認証では数字四桁の知識認証だけ使えてしまうというのは、これで本当にいいのかちょっと疑問に思ってしまう。、
YahooJAPANについてはWebAuthn対応自体はとても良いのですが、SMS経由のコードだけでログインというアレな認証方式をゴリ押ししているので複雑な気持ちですね。使いまわしザルパスワードよりはマシという判断なのでしょうが…
Windows HelloについてはPINによる知識認証の裏にTPMを使った所有認証が動いているので見た目よりも遥かに強固ですよ。TPMのないパソコンではTPMよりも脆弱な方式にフォールバックするようですが、そのようなパソコンはWindows 11対応の名のもとに消え去ったはずです。(メーカー製PCに関してはWindows 10プリインストールモデルの時点でTPM必須になっていたので、TPMが使用できるパソコンは皆さんが思っているより多いです)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
2要素認証はフィッシングに効果無いんですが (スコア:4, 興味深い)
ある程度IT知識がある人向けのスラドでも「二要素認証未対応も一因?」なんて書いちゃうんだね。
ネット銀行の2段階認証を突破 不正送金の巧妙な手口
https://style.nikkei.com/article/DGXMZO56375530U0A300C2000000/ [nikkei.com]
SMSでワンタイムコードを送るタイプであっても、時刻ベースのワンタイムパスワード(TOTP)であっても、フィッシング対策にはなりません。
何故ならば、フィッシング詐欺サイトが通信をプロキシして、正規サイトとの間を中継すれば回避できるからです。
「二段階認証しているから大丈夫だ」とドメイン名の確認を怠ると、フィッシング詐欺にかえって騙されやすくなります。
フィッシング詐欺対策に必要なのは、とにかくドメイン名の確認です。
なお、楽天は、
https://www.rakuten.co.jp/ [rakuten.co.jp] からロ
複数ある認証手段を一括りにするなかれ (スコア:0)
情報が古いですね。
二要素認証のうち、SMSやTOTPを用いたものは確かにフィッシングに対し脆弱ですが、FIDO U2FやWebAuthnと呼ばれる認証方法はドメイン名が変わると認証されない仕組みになっているので、フィッシングをほぼ確実に防止することができます。
特にWebAuthnではWebAuthn単体で二要素認証が完結し、パスワードそのものを廃止することも可能です。
例えば、USB接続のセキュリティーキー + PINで所有認証 + 知識認証、パソコン内のTPMチップと指紋で所有認証 + 生体認証といった風にWebAuthnのみで二要素がそろう仕組みになっています。
このようにフィッシングをほぼ根絶
Re: (スコア:1)
ちなみに、YahooJAPANはWebAuthnに対応してますね。2018年10月にスマホでの生態認証ログイン対応を始めて、順次利用可能範囲を広げていき、2021年12月からPCブラウザでも対応しました。 [yahoo.co.jp]
ただ、Yahooが悪いわけじゃ無いけど、
Windows Hello のPIN認証では数字四桁の知識認証だけ使えてしまうというのは、これで本当にいいのかちょっと疑問に思ってしまう。
、
Re:複数ある認証手段を一括りにするなかれ (スコア:1)
YahooJAPANについてはWebAuthn対応自体はとても良いのですが、SMS経由のコードだけでログインというアレな認証方式をゴリ押ししているので複雑な気持ちですね。使いまわしザルパスワードよりはマシという判断なのでしょうが…
Windows HelloについてはPINによる知識認証の裏にTPMを使った所有認証が動いているので見た目よりも遥かに強固ですよ。TPMのないパソコンではTPMよりも脆弱な方式にフォールバックするようですが、そのようなパソコンはWindows 11対応の名のもとに消え去ったはずです。
(メーカー製PCに関してはWindows 10プリインストールモデルの時点でTPM必須になっていたので、TPMが使用できるパソコンは皆さんが思っているより多いです)