SMSを使った2要素認証を不許可へ、NISTの新ガイダンス案 49
ストーリー by hylom
ロック中でも表示されちゃいますしねぇ 部門より
ロック中でも表示されちゃいますしねぇ 部門より
米NIST(国立標準技術研究所)が、SMSを用いた二要素認証は安全ではないとして非推奨とする方針を出したという(TechCrunch)。
SMSは電話番号だけで送信でき、すでに機械的にSMSを自動送信する手段が普及しているため、手軽な二要所認証手段として使用されている。しかし、通信内容の盗み見や傍受、改ざんなどの可能性があるなどとして、NISTのガイドラインではSMSを使った二要素認証について非推奨とし、さらに今後は不許可とする方針だそうだ。
Google アカウント等は2段階認証を有効にするとかえって脆弱になることも(ソーシャルハッキング) (スコア:4, 参考になる)
社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。
しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、挙句の果てに画面ロックまで解除されてしまいます。
アカウントを奪う方法は簡単で、
と、ターゲットのスマホで自動音声コードを取得する以外はすべてWebで完結します。そして、Android スマホの画面ロックは、Googleアカウントによる認証で解除可能なので、スマホ内に保存された全データを盗み取れてしまいます。不倫の証拠なども簡単に確保できてしまいますね。
そもそも、Googleアカウントに電話番号を登録していなければこの方法は使えないので、2段階認証を有効にするために電話番号を登録するとソーシャルハッキングに対しては、かえって脆弱になると言えます。
昔は、パスワードの再登録には「秘密の質問への答え」と「生年月日」が要求されるサービスが多く、「秘密の質問への答え」を推測不可能なものにすることで自衛が可能でした。しかし、秘密の質問の問題が指摘されるようになり [it.srad.jp]、音声通話・SMSを認証に使う方法が主流になったことにより、ユーザー側での自衛が困難な新たなセキュリティリスクが生じてしまいました。電話番号を複数所持して、パスワードの復旧用の電話番号(パスワード忘れ用)や2段階認証用のコード受け取り用に登録する電話番号を普段持ち歩いている携帯電話と別のものにするといった対策は可能ですが、電話番号・電話機を複数所持している必要があります。
パスワードの再登録(アカウントの回復)を有料化し、アカウントの名義と同じ氏名のクレジットカードを必須としたうえで、パスワードの再登録に3日ぐらい時間がかかるようにして、「あなたのGoogleアカウントのパスワードが再登録されようとしています。あなた自身がこの手続きをしていない場合にはアカウントが乗っ取られようとしています。」といったメールとSMSを数時間おきに送信する仕様に変更すべきだと思います。
Re:Google アカウント等は2段階認証を有効にするとかえって脆弱になることも(ソーシャルハッキ (スコア:2, 興味深い)
Googleにばかり矛先向けようとしてるけど、2要素認証のカギである電話まで盗んでる前提の時点で極論すぎ
その状態で守れないケースがあるのはむしろ自然であって批判するところではない
典型的な「キチガイセキュリティ」に成り下がってるよ
新しい仕組みを提案するなら、アンチGoogle思考を捨ててもっと広い範囲に訴求したら?
Re: (スコア:0)
ほんとそれ。物理的にデバイスをアクセスされてる時点でアウトでしょ。
「PCに物理アクセスされたら終わり」「銀行のワンタイムパスワード生成器を盗まれたら終わり」と言ってるのと何も変わらないよねえ。
セキュリティネタは脅すだけでホイホイとプラスモデはいるんでマジ釣り堀だわ。
「2要素認証」を「1要素」だけで突破できるのは問題 (スコア:2)
仮に、銀行のワンタイムパスワード生成器を盗まれたとしても、IDとパスワードが盗まれない限りアカウントへの不正アクセスはできません。「パスワード」と「物理トークン」の2要素で認証しているため、そのうちの1つだけが盗まれても安全が確保されるわけです。物理トークンだけで、パスワードの再登録が可能な銀行は存在しないのでは?
更に、みずほ銀行やゆうちょ銀行など、多くの銀行では普段使っている環境(IPアドレスやCookie)以外からログインしようとすると追加で秘密の質問や合言葉に回答する必要があるという「3要素認証」となっています(秘密の質問ではパスワードリセットはできません)。「ワンタイムパスワード生成器を盗まれたら終わり」な銀行は存在しないと思います。
一方、Google アカウントを含む多くのオンラインサービスの2段階認証は、「物理トークン」のみでパスワードの再登録が可能なことから事実上「1要素認証」になっているのが問題であり、場合によっては2段階認証の設定によりセキュリティが低下することが問題だと指摘しているんです。
「PCに物理アクセス」については、BitLockerなどでドライブ全体を暗号化することで対策可能です。
# なお、オンラインバンキングのセキュリティについては、トランザクション署名を導入しているずほ銀行などの金融機関を除き、MITBによる振込先・金額の改ざんを防げないのが大きな問題だと思います。
Re:「2要素認証」を「1要素」だけで突破できるのは問題 (スコア:1)
それは「端末にセキュリティーロックをかけてない」という別の問題を無視してるんじゃない?
一般的なAndroid端末はセキュリティーロックがかかった状態ではGoogleアカウントだけでは解除できないし、セキュリティーロックがかかっていなければアカウント乗っ取り云々以前にGmail等にダイレクトにアクセスできるもん。
2段階認証って「通信の途中経路や、端末に入ったマルウェアへの対策」なので、Googleアカウントが判ってる状態でのデバイス盗難みたいなケースへの対策は、そもそも2段階認証をする目的に入ってないと思うけど。
Re:「2要素認証」を「1要素」だけで突破できるのは問題 (スコア:2)
比較的新しめの Android 端末であれば、Google アカウントにログインできれば、Webから Android デバイス マネージャー [google.com] にアクセスすることで、端末のセキュリティロックを上書き(別のパスワードやPINに変更)できますよ。
そのため、正しい使い方としては、端末のロック解除パスワードを忘れた場合でも、Google アカウントにログインできればロック解除が可能です。悪用する立場からすれば、Google アカウントにログインさえできれば、端末のロックを解除できてしまいます。
また、ロックがかかっていても、電話の着信は可能なので、自動音声通話により OTP を受け取ることができます。
Android の「リモートでのロックとデータ消去を許可する」がオンになっている必要がありますが、
とのことです(Androidのロック画面解除パターン/パスワード/PINを忘れた時の初期化を伴わない対処法。 [androidlover.net])。
Re: (スコア:0)
だから前提が間違ってるっつーの。
2要素認証で防ぐのはマルウェアに感染して、端末にキーロガー等を仕込まれたり、ブラウザの画面に干渉することで不正操作されるようなネットワーク越しの攻撃なので、物理的な端末の盗難への対策として考えることが間違いなの。
ましてや「Googleアカウントがロックを解除しなくてもわかってる端末を狙って盗まれてる」って時点で、そんな状況の対策に2認証要素とか考えるのがお話にならない。
自宅にセコム導入しようがドアの鍵を頑丈にしようが家の外からの放火は防げないし、どれだけ暗証番号や錠前が高度な金庫だとしても金庫ごと盗まれたらアウトでしょ。それと同じ。
2要素認証そのものが「デバイスの盗難」対策でないのだから、そこでどれだけ「2要素認証がデバイスの盗難には無力」と叫んだところで意味はない。
デバイスの盗難対策は物理的方法(ワイヤーで固定するとか)や生体認証でのアクセス抑止、あるいは暗号化に別途キーを使う等、別の対策をとるべきであって、今回の問題と一緒くたにするのが間違ってる。
Re: (スコア:0)
「2要素認証がデバイスの盗難には無力」ではなく
「2要素認証がデバイスの盗難時のリスクを上昇させる」という話であり
「2要素認証のはずがデバイスの所持という1要素に還元できてしまう」という話ですよ?
デバイス盗まれるって時点で相当な問題が発生しているのは確かだけど、
認証要素数は確かに減っているし、リスクとなりうる部分なのも間違ってない。
> どれだけ暗証番号や錠前が高度な金庫だとしても金庫ごと盗まれたらアウトでしょ。それと同じ。
暗証番号を総当りで突破するのにかかる時間や回数ロックについては無視ですかそうですか。
Re: (スコア:0)
「物理的にデバイスをアクセスされてる時点でアウト」って・・・
デバイスを盗まれたら諦めるんですか?
携帯電話のロックって「物理的にデバイスが奪われた」場合の対策でしょうに
何の為に遠隔初期化等の機能があると思っているんでしょうか
Re: (スコア:0)
遠隔初期化と二段階認証、全然関係ないやん
二段階認証は認証時の多段ステップ確保でしかなくて、盗難及び初期化を防ぐ手段ではないよ
それなのに二段階認証破るには盗難すれば簡単。だからGoogle悪いって、ただのキチガイやん
Re: (スコア:0)
まあ Printable is bad. (38668) だから、かわいそうな人を見る目で見てあげなよ
今までの文章を見ればこの人が誇大妄想にとりつかれている人なのはわかるだろ
Re: (スコア:0)
Printable is bad. (38668) みたいな物言いって一見なるほど、そうなんだぁって思うけど
よく読んでみると頓珍漢なアレゲ。こわいこわい
Re: (スコア:0)
具体的に反論できずに何言ってるんスかねあんたら。
> それなのに二段階認証破るには盗難すれば簡単。だからGoogle悪いって、ただのキチガイやん
2要素のうちの面倒くさい方だからといって、2要素が1要素になってる事に変わりはないと思いますが。
Re: (スコア:0)
「暗証番号設定してあっても携帯電話を他人が触れる状態で一定時間目を話したらアウトなのは問題」
って話の何処が納得出来ないんだ。
そりゃ彼の発言は一々攻撃的ではあるけど、攻撃的で相容れないかどうかと正しいかどうかは別の話だぞ。
Re:Google アカウント等は2段階認証を有効にするとかえって脆弱になることも(ソーシャルハッキ (スコア:1)
> Google アカウントのIDは公開情報(メールアドレス)なので入手可。
恋人や結婚相手に対して隠したいことがあるならGoogleアカウント自体を分けますので
GoogleアカウントのIDは不明のほうが普通ですよ
メールアドレスは公開情報だと言い張るなら世の中のすべてのセレブのメールアドレスをあなたがここに書いてみてください
公開されてるんでしょ?よろしくお願いしますね
Re: (スコア:0)
ハック対象の人になりすましてSIMカードを無くしたと携帯電話会社に言って新しい正規のSIMを発行させて奪うという方法も最近ありましたね。
こちらだと物理的に近づく必要すらないので(暗証番号とかの問題はありますが)、SMSや電話でパスワードリセットができるサービスのセキュリティは電話会社のソーシャルハッキングに対するセキュリティより高くならないことになります。
「電話番号を複数所持して」 (スコア:0)
旧名 Google Voice サービスで、そういうことのためだけの電話番号を用意していますが、日本ではサービスしてないんだっけ?
実際のところ (スコア:3, 興味深い)
「じゃあ他にどんな手段があるんだよ」ってのがあって。
2段階認証の意義は、どちらかというと2段目の認証がセキュアなことよりも、2段目の認証が1段目と違うルートを使っていることにあるわけじゃん
ぶっちゃけ特定ユーザーのPC通信内容とSMSの両方を盗聴できる状態にあったら、それ以外の2段階認証を実装したとしてもあっさり破られそうだと思うけどなぁ
いやまあ生体認証デバイスの統一規格とか出て普及したら話は変わってくるかもしれんが
Re:実際のところ (スコア:4, 参考になる)
アメリカとか特有の事情みたいっすな
「SMSの送信先が回線交換じゃない」場合に盗聴の可能性があるから…という話らしい
日本だとまだ当てはまらないんじゃないかな
Re: (スコア:0)
sms使うのがいけないので、SSLとかセキュアなプロトコル通せばいいんじゃない?
Re: (スコア:0)
私はそもそも「2段階認証にSMSにしろ、電話にしろ使うのが間違い」だと思いますね。
「サービスの内容提供にそもそも電話番号がないとできないもの」ならまだしも、
サービス提供側へサービスそのものに不要な情報を与えたくない。与えることその物が情報漏洩リスクでしかないので。
サービス提供者側から情報漏れがあった場合、不要なものでクリティカルなものまで漏れてしまう。
「1段目と違うルート」だけであればそれこそ「二つ目のフリーメールアドレス必須」程度で構わない話なのに
hiwa翻訳は読みづらいから原文貼る (スコア:3, 参考になる)
If the out of band verification is to be made using a SMS message on a public mobile telephone network, the verifier SHALL verify that the pre-registered telephone number being used is actually associated with a mobile network and not with a VoIP (or other software-based) service. It then sends the SMS message to the pre-registered telephone number. Changing the pre-registered telephone number SHALL NOT be possible without two-factor authentication at the time of the change. OOB using SMS is deprecated, and will no longer be allowed in future releases of this guidance.
https://techcrunch.com/2016/07/25/nist-declares-the-age-of-sms-based-2... [techcrunch.com]
- 二要素認証にSMSを使う場合は、番号が(攻撃者の受け取りやすい)VoIP等ではないことを確認しなければならない(SHALL)。
- 登録済電話番号の変更をする際には、二要素認証が必須でなければならない(SHALL NOT)。
- Out-of-band 認証へのSMSの使用は非推奨(deprecated)であり、将来のガイダンスでは認められないものとする。
やはりここは (スコア:2, おもしろおかしい)
伝書バト認証にするしかない。異論は推奨する。
Re: (スコア:0)
そこは狼煙かモールス信号だよ
Re: (スコア:0)
ダダ漏れLINE使うよりはマシか
Re: (スコア:0)
多段階認証がベストだろう。つまりF2FとDNAテストと声紋。
Re: (スコア:0)
RFC1149 [wikipedia.org]のターンか
想定してみた(浅知恵で) (スコア:1)
2段階認証で認証キーを受け取る場合。
もしその認証キーを受け取る端末に悪意あるSMS読み取りアプリが入れられていたら、そこから認証キーが奪われる可能性があるとか?
アプリインストール時にSMS読み取り許可見てれば防げそうだけど、わざわざそこまで気にしないからなぁ。
以後気をつけよっと。
スマホアプリの認証アプリ使えばいいしね (スコア:0)
えっガラケー?ガラケー使う人は二要素認証が必要なオンラインサービスなんか使わないでしょ(^^
Re:スマホアプリの認証アプリ使えばいいしね (スコア:1)
ガラケーは既にSSLを始めとした暗号化規格に追従できてないので
ネットに繋ぐこと自体がリスキー
Re:スマホアプリの認証アプリ使えばいいしね (スコア:1)
SMSを受け取る行為のどこにSSLが関係するの?
Re:スマホアプリの認証アプリ使えばいいしね (スコア:2, おもしろおかしい)
認証して接続する際にSSL暗号化されてないサービスを使うつもりなんでしょうか?
揚げ足取ったつもりが自分の無知さらしてるだけってオチになってませんか?
Re:スマホアプリの認証アプリ使えばいいしね (スコア:2)
SMS受け取った端末でそのままアクセスしたりしないでしょう。
SMSの2要素認証って、典型的な使い方は、
・PCでアクセスする際
・6桁くらいの数字がSMSで携帯に送られてきて
・それをPCに入力して認証
ですよ。認証デバイスそのものでアクセスしたら2要素認証の意味ない(とまでは言わないが、効果のわりに却って操作がめんどくさい)じゃん。
Re: (スコア:0)
Re: (スコア:0)
このコメントから分かることが二つあると思う。
1) このACさんは携帯電話網がそもそもTCP/IPで動いてないことを知らない
2) このACさんは二要素認証の「二」が何を意味するかさっぱり分かっていない
Re: (スコア:0)
3)このACさんは自身の無知を自覚していない
Re: (スコア:0)
4) SMSをSNSと勘違いしている
#さすがにそれは
Re: (スコア:0)
SMS受け取るだけなのに?
Re: (スコア:0)
スマホが壊れた場合の、復旧手段の管理が面倒なんだよなぁ
Re: (スコア:0)
そんなあなたに Authy https://www.authy.com/ [authy.com]
あっち側にバックアップしてくれる。
Re: (スコア:0)
パスワードを他人に教えてるってこと? 銀行サイト統一ログインアプリとかは批判するのにこれはスルーなの?
Re: (スコア:0)
Authyはパスワードを教えるわけではないのだが
とはいえクローンiPhoneなんていう気持ち悪い前例もあるわけで (スコア:0, 荒らし)
スマホに頼るのが正解かというとそれも不安ですけどね
特にiPhoneはね
Re: (スコア:0)
ん?クローンiPhoneって何?
中身クローンできてもSIMないと電話番号まではクローンできませんが?
不可能ではないんだろうけど、SIMのクローンが現実的じゃないからその電話番号の持ち主を確認して認証するというのがSMS認証なわけだが。
一応、他の端末でもiMessage同様にSMSを同時受信できる設定もあるが、その場合も別端末からの認証が必要。
これを契機に (スコア:0)
無駄に二要素認証を強制しているサービスとか考え直してくれると嬉しいな
Re: (スコア:0)
> が必要にな
それが目的か
Re: (スコア:0)
論点を明確にしてそれを詳細に説明しているコメント(#3053487)と、
「特にiPhoneはね」と捨て台詞を吐くだけのコメント(#3053433)では、
評価が違って当然だと思う。
Re: (スコア:0)
ちなみにモデレーションが逆だったとしたら、あなたの評価はどうなるのでしょう?
1. 正しいGoogleを賞賛し邪悪なAppleを排除する適切な評価
2. スラドはApple信者の巣窟であるという真実を隠蔽するための信者による偽装工作
3. その他