アカウント名:
パスワード:
ある程度IT知識がある人向けのスラドでも「二要素認証未対応も一因?」なんて書いちゃうんだね。
ネット銀行の2段階認証を突破 不正送金の巧妙な手口 https://style.nikkei.com/article/DGXMZO56375530U0A300C2000000/ [nikkei.com]
SMSでワンタイムコードを送るタイプであっても、時刻ベースのワンタイムパスワード(TOTP)であっても、フィッシング対策にはなりません。何故ならば、フィッシング詐欺サイトが通信をプロキシして、正規サイトとの間を中継すれば回避できるからです。
「二段階認証しているから大丈夫だ」とドメイン名の確認を怠ると、フィッシング詐欺にかえって騙されやすくなります。フィッシング詐欺対策に必要なのは、とにかくドメイン名の確認です。
なお、楽天は、
https://www.rakuten.co.jp/ [rakuten.co.jp] からロ
情報が古いですね。
二要素認証のうち、SMSやTOTPを用いたものは確かにフィッシングに対し脆弱ですが、FIDO U2FやWebAuthnと呼ばれる認証方法はドメイン名が変わると認証されない仕組みになっているので、フィッシングをほぼ確実に防止することができます。
特にWebAuthnではWebAuthn単体で二要素認証が完結し、パスワードそのものを廃止することも可能です。例えば、USB接続のセキュリティーキー + PINで所有認証 + 知識認証、パソコン内のTPMチップと指紋で所有認証 + 生体認証といった風にWebAuthnのみで二要素がそろう仕組みになっています。
このようにフィッシングをほぼ根絶
これ(WebAuthn)によるフィッシング阻止効果を「二段階認証」のおかげと言うのは違和感がありますね。結局フィッシングの原因はユーザーなり認証装置なりが、非正規ドメインに対して認証を行ってしまうことに由来するので。二段階認証の本来の目的は、一段階目と二段階目の認証情報を別にしておくことで、片方の漏洩に大して堅牢にする、ということじゃないでしょうか。
(私は自分のパスワードが漏洩する可能性と二段階認証情報が漏洩する確率は完全に同じだと思っているので、特にメリットを見いだしていません。)
別にパスワードオンリーだったとしても、例えばブラウザのパスワードマネージャーに覚えさせて、ドメイン名が不一致の場合はオートコンプリートされないのとフィッシングに対する安全性は何が違うんでしょうか?
もちろん実装含めて結果的にフィッシングは抑制されるんでしょうが、それは別に「二段階」になったからではないですよね。
二要素認証はフィッシングに無力という主張に対してフィッシング対策が可能な手法もあるという話なので、そもそも二段階認証の話ではありませんし、WebAuthnだけが二要素認証というわけでもないので、WebAuthnのおかげと二要素認証のおかげは同義ではなく、二要素や二段階のおかげだという主張は含まれていませんよ。
#4270181ですが、ちゃんと勉強してみました。WebAuthnの本質は、フィッシング云々ではなく(もちろんこれも実装次第で一般人には有用となるが)、公開鍵暗号を導入していることですね。今までちゃんとしたパスワード管理(高強度で、使い回さない)をしていた人でも、原理的に秘密鍵を相手方に渡さなくて済むので、ある種の攻撃に大して強度が上がります。とはいえ伝送経路(ブラウザ脆弱性等含む)の盗聴による耐性はTOTPと同じ(結局、一度は使われてしまう)ですね。一番有用そうなのは、相手方サーバーからの秘密鍵漏洩(ハッシュ化してないパスワード、もしくはTOTP秘密鍵)による攻撃者の継続的認証を防げることでしょうか。
やはりフィッシング云々はその本質では無いと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
2要素認証はフィッシングに効果無いんですが (スコア:4, 興味深い)
ある程度IT知識がある人向けのスラドでも「二要素認証未対応も一因?」なんて書いちゃうんだね。
ネット銀行の2段階認証を突破 不正送金の巧妙な手口
https://style.nikkei.com/article/DGXMZO56375530U0A300C2000000/ [nikkei.com]
SMSでワンタイムコードを送るタイプであっても、時刻ベースのワンタイムパスワード(TOTP)であっても、フィッシング対策にはなりません。
何故ならば、フィッシング詐欺サイトが通信をプロキシして、正規サイトとの間を中継すれば回避できるからです。
「二段階認証しているから大丈夫だ」とドメイン名の確認を怠ると、フィッシング詐欺にかえって騙されやすくなります。
フィッシング詐欺対策に必要なのは、とにかくドメイン名の確認です。
なお、楽天は、
https://www.rakuten.co.jp/ [rakuten.co.jp] からロ
複数ある認証手段を一括りにするなかれ (スコア:0)
情報が古いですね。
二要素認証のうち、SMSやTOTPを用いたものは確かにフィッシングに対し脆弱ですが、FIDO U2FやWebAuthnと呼ばれる認証方法はドメイン名が変わると認証されない仕組みになっているので、フィッシングをほぼ確実に防止することができます。
特にWebAuthnではWebAuthn単体で二要素認証が完結し、パスワードそのものを廃止することも可能です。
例えば、USB接続のセキュリティーキー + PINで所有認証 + 知識認証、パソコン内のTPMチップと指紋で所有認証 + 生体認証といった風にWebAuthnのみで二要素がそろう仕組みになっています。
このようにフィッシングをほぼ根絶
Re:複数ある認証手段を一括りにするなかれ (スコア:0)
これ(WebAuthn)によるフィッシング阻止効果を「二段階認証」のおかげと言うのは違和感がありますね。
結局フィッシングの原因はユーザーなり認証装置なりが、非正規ドメインに対して認証を行ってしまうことに由来するので。
二段階認証の本来の目的は、一段階目と二段階目の認証情報を別にしておくことで、片方の漏洩に大して堅牢にする、ということじゃないでしょうか。
(私は自分のパスワードが漏洩する可能性と二段階認証情報が漏洩する確率は完全に同じだと思っているので、特にメリットを見いだしていません。)
別にパスワードオンリーだったとしても、例えばブラウザのパスワードマネージャーに覚えさせて、
ドメイン名が不一致の場合はオートコンプリートされないのとフィッシングに対する安全性は何が違うんでしょうか?
もちろん実装含めて結果的にフィッシングは抑制されるんでしょうが、それは別に「二段階」になったからではないですよね。
Re: (スコア:0)
二要素認証はフィッシングに無力という主張に対してフィッシング対策が可能な手法もあるという話なので、そもそも二段階認証の話ではありませんし、WebAuthnだけが二要素認証というわけでもないので、WebAuthnのおかげと二要素認証のおかげは同義ではなく、二要素や二段階のおかげだという主張は含まれていませんよ。
Re: (スコア:0)
#4270181ですが、ちゃんと勉強してみました。
WebAuthnの本質は、フィッシング云々ではなく(もちろんこれも実装次第で一般人には有用となるが)、公開鍵暗号を導入していることですね。
今までちゃんとしたパスワード管理(高強度で、使い回さない)をしていた
人でも、原理的に秘密鍵を相手方に渡さなくて済むので、ある種の攻撃に大して強度が上がります。
とはいえ伝送経路(ブラウザ脆弱性等含む)の盗聴による耐性はTOTPと同じ(結局、一度は使われてしまう)ですね。
一番有用そうなのは、相手方サーバーからの秘密鍵漏洩(ハッシュ化してないパスワード、もしくはTOTP秘密鍵)による攻撃者の継続的認証を防げることでしょうか。
やはりフィッシング云々はその本質では無いと思います。