Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9%がブロックできる 45
ストーリー by hylom
大事なところでは多要素認証を 部門より
大事なところでは多要素認証を 部門より
Anonymous Coward曰く、
Microsoftが8月20日、多要素認証を使うことでアカウントに対する攻撃の99.9%は防ぐことができる、といった内容のブログを公開した(Microsoft Securityブログ)。
これによると、Microsoftのクラウドサービスに対しては毎日3億件以上の不正なサインインが試みられているという。また、ランサムウェアによる攻撃は一日4000件、マルウェアによる攻撃は1.67億件が発生しているそうだ。こうした攻撃には盗まれたパスワードが使われており、セキュリティ企業などの調査によると、情報漏洩事件のうち81%が盗まれた認証情報によって引き起こされているという。また、複数のサービスで重複したパスワードを使用しているケースも多い。
これを踏まえてMicrosoftは、多要素認証を有効にすることでこうしたパスワードの問題を解決でき、99.9%の攻撃をブロックできるとしている(ZDNet、マイナビ、Slashdot)。
1000件に一件は不正侵入されてるってことですか? (スコア:3)
> 毎日3億件以上の不正なサインインが試みられている
> 99.9%の攻撃をブロックできる
てことは毎日3000件以上不正にサインインされてるってことですか?
Re:1000件に一件は不正侵入されてるってことですか? (スコア:2)
計算ミス、30万件以上の不正サインインでした。
そもそも不正なサインインの検出はどうしてるんでしょう。
多くの場合サインインできたらそれが不正であったかどうかわからないはず。
Re:1000件に一件は不正侵入されてるってことですか? (スコア:1)
「不正なサインインが試みられている」とあるので、認証失敗したのをカウントするのでしょうか。
Re: (スコア:0)
ユーザーがあわてて連絡してくるからわかるんじゃね。統計に入れても小数点以下に埋もれるだろうけど。
Re: (スコア:0)
それな。自分のアカウントにログインしようとしても不正とされてブロックされることあるし・・・
おかげでskypeはスマホからしかアクセスできなくなった。
Re: (スコア:0)
まあそう言わずまずは多要素認証アプリ入れてみましょう
Re: (スコア:0)
あるある。MSの誤認証の酷さは異常やで。
あいつら親の敵みたいに各社のVPNアドレスブラックリスト化してやがるから、
海外旅行中に日本のネトフリ見ようとか思ってVPN通してると漏れなく弾かれる。
頭おかしい。
そもそもアカウントの不正利用を止めさせたいなら、多要素認証よりもまず最初に
そのアカウントの持つ情報量を限りなくゼロにすることだろ。
Office使うのにMSアカウント必須なんてその最たるもののひとつだ。
てめーでアカウントに何もかも紐つけといてから、不正アクセス増えましたもクソもねーわ。
Re: (スコア:0)
>Office使うのにMSアカウント必須
ダウト
Re: (スコア:0)
最新のOffice使ったことないんだね
知識をアップデートしておかないと恥ずかしくて穴があったら入りたくなると思うよ
Re: (スコア:0)
新しいPCのセットアップが時折あるが、添付のMSオフィスのアクティベーションにMSアカウントが要ったり要らなかったりするので毎回混乱させられている。
Re:1000件に一件は不正侵入されてるってことですか? (スコア:1)
99.9%という文字列を見ると、
単純に0.1%が失敗と見るのか、
有効数字が3桁で、実際は99.9%以上なのか、
ふと頭が止まってしまうことがある。
Re: (スコア:0)
素直に「ほとんどすべて」とか言葉で表現して欲しいもの。
だけどそれはそれで「曖昧だ」とか言われるのだろうな。
自分的には99.9%と言われると、
「評価に足りる分解能かサンプル数を持って無いんだな」
と思ってしまう。
Re: (スコア:0)
十中八九大丈夫。
Re: (スコア:0)
有効数字が3桁だと 99.95% 以上ではないので、失敗は 0.05-0.149.. % ですね。
Re: (スコア:0)
「科学者は100%安全だと保証できないものは動かしてはならない」ってことですか?
とまあ冗談はさておき、「あまたある攻撃手法の99.9%(ほとんどすべて)をブロックできる」という意味でしょうね、おそらく。
あと、件数出すにしても試行回数である3億件からではなく、現在の不正ログイン数などの不正操作回数(頻度)から出さないと「ブロックできていない数(=不正なサインインの数)」にはならないと思うけど。
多要素認証は「不正なサインインの試行」を止められるものではないし。
Re: (スコア:0)
2段階認証で
漏洩したIDとパスワードでログイン
↓
smsに届いた3桁の数字を入力する所で適当な3桁の数字を入力
↓
1000回に1回当たり
↓
0.1%の確率で不正ログイン成功
と、妄想。
多要素認証って使ったこと無いんだけど (スコア:0)
ネットサービスで、月イチとか半年に一度くらい なんでかわからんけど再ログインさせられたり
パスワードの変更とか重要な情報にアクセスする時にパスワードを再入力とかされるやん
あのタイミングでもスマホを取り出してSMSの番号を入れる必要あるの?
だったら面倒だなあ
Re: (スコア:0)
Twitterでテレビ動画うpしたらロックされた
解除するには電話番号入力しろという著作物侵害で事件化したらすぐに本人に辿り着けるトラップ
Re: (スコア:0)
面倒だなあ、はかまわないけど
それで良しとするなら、田舎の鍵かけないのを良し(面倒だから)とすることになる
2要素かどうかはともかく、安全は適切な費用(時間や手間も費用)で買えるということ
買わないのはかまわないけど、そのときは保障は受けれないとして文句はいわんでほしい感はある
# 「いままでパスワードだけだったじゃんか!」は、「シートベルトは運転手だけだったじゃんか」みたいなもんで、同乗者全員の安全が欲しいならちゃんとしろ、というのはわかるんじゃないかな...
Re: (スコア:0)
月イチとか半年に一度の再ログインはWebトークンの更新で、多要素認証は初回の認証だけやで。
再インスコしたら再認証が必要になるけど。
# ワンタイムパスワードがまじめんどくさい。
ほんとこれ (スコア:0)
個人より法人の方がなんで使わないのかわからん。
楽天みたいに対応してない前時代的なところは論外として、ワンタイムパスワードでもちゃんと設定して使えばいい。
コストが掛けられないならその程度の設備ということだが。
社内システムは多要素認証とSSOは必須だろうと思う。
Re:ほんとこれ (スコア:2)
>社内システムは多要素認証とSSOは必須だろうと思う。
Firewallの中だけでの認証は比較的ゆるくなってそう。
Re:ほんとこれ (スコア:2)
1980年代のハッカー武勇伝とかで防衛や航空宇宙系の会社が出てくると、OTPとか日替わりトークンの番号をどう盗むか、みたいな話はスマートカードや複雑なパスワードよりずっと高い確率で出てきますね。定石は決まっているけど、聞き入れられるかは別ってことでしょうか。
# フロアで通電してるスマホを見ると管理職が不安がるので2FA廃止した、という笑い話は笑えなかった
Re: (スコア:0)
多要素認証必須にしたいのだけど、ID/パスワードに加えてもう一つ加える要素がない…
トークン配るにも人数が多いのでコストがバカにならない。
スマホつかえばいいのだけど、私物は使わないことになってる。
会社の電話持ってる人もいるけど、全員じゃない。
Re: (スコア:0)
社内でしか使わないなら固定電話という手もありますよ。
Re: (スコア:0)
(#3677655) です。
固定電話…内線はあるのですが、外線は個人に割り当たってないんですよ…
多要素認証の電話で内線にまでルーティングしてくれるやつもあるかもしれないですが、外から内線に直でかけられないので詰んでそうです。
多要素でなくても (スコア:0)
ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。
その場合はコードを少し複雑にした方がいいけど。
Re: (スコア:0)
以前bot対策として使われてたCHAPTAが下火になった理由のひとつは自動で突破できるようになったかららしいし、ワンタイムパスワードも広く使われるようになるとコストかけてでも突破方法を考えつく可能性はあると思う。
Re: (スコア:0)
サーバーサイドでチェックせずJavascriptだけの場合はAdblockでReCAPTCHAの要素を隠しちゃえば、突破できるというガバガバシステムwwww
メルカリのウェブ版ログインページとかそうだな
Re: (スコア:0)
> ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。
多要素でもワンタイムパスワードでもなくても、
サイトごとに異なる、十分に長いランダム生成パスワードを使ってれば
自動攻撃はブロックできるでしょう。
多要素認証って、それをやってない(ある意味ふつうの)ユーザー向けなんじゃ?
アメリカじゃSMS認証は詐称可能なので重要な用途では非推奨らしいし。
日本の携帯ネットワークでは一応大丈夫っぽいけど。
Re: (スコア:0)
訂正。
> アメリカじゃSMS認証は詐称可能なので重要な用途では非推奨らしいし。
非推奨は言い過ぎで、条件付きで使用してもよい…でした。
条件は、以下のすべてを満たす場合とのこと
・他の認証方式と併せて利用する
・危険性について評価し、その結果を利用者に公表する
・代替の方法を用意しておく
ソースはこちら。
https://www.itmedia.co.jp/news/articles/1904/08/news026_2.html [itmedia.co.jp]
> SMS認証を採用したサービスへの不正アクセス事件は、国内ではまだ聞きませんが、海外では発生しています。
だそうで。
Re: (スコア:0)
サイトごとに異なる、十分に長いランダム生成パスワードを使ってれば
自動攻撃はブロックできるでしょう。
それが徹底されていないから自動攻撃がブロックできないわけでしょう?
それで、もうそれってサービス提供側でコントロールできないし誰が悪かろうが
実際に攻撃通っちゃってるよねって現実から、多要素認証の採用が伸びている。
その背景がある前提で、#3677609のコメントがある。
経路を論じるのは避けて、ワンタイムパスワードとした。そういう問いかけ。
Re: (スコア:0)
> それが徹底されていないから自動攻撃がブロックできないわけでしょう?
もちろんその通りで、だから #3677841 では
>> 多要素認証って、それをやってない(ある意味ふつうの)ユーザー向けなんじゃ?
って書いてるわけですよ。
読み落としました?
> その背景がある前提で、#3677609のコメントがある。
> 経路を論じるのは避けて、ワンタイムパスワードとした。そういう問いかけ。
#3677609 には明示的に書かれていないその『暗黙の』前提を、#3677841 では
>> サイトごとに異なる、十分に長いランダム生成パスワードを使ってれば
と明確化しているわけです。
#3677609 は、ふつうのユーザー向けで、多要素ではなくワンタイムパスワード1要素認証を使う話、
#3677841 は、ふつうじゃないユーザー向けの話で、
両者は扱ってる対象が別なので普通に両立します。
Re: (スコア:0)
すまん、俺は馬鹿だからあなたが何を訴えたいのかさっぱりわからぬ。
多要素認証って、それをやってない(ある意味ふつうの)ユーザー向けなんじゃ?
のだとして、それは
ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。
これが何か正しいとか違うとか、関連する話をした訳ではなかったのかね。
そんなことはなく、それは別にどうでもいいから俺の話を聞けということなのかね。それなら分からないでもないが…
これはMSのリサーチのストーリーなのだから、MSのようなサービス提供側の視点の話だ。
パスワードを複
Re: (スコア:0)
> ワンタイムパスワードの採用でブロックが成立するのでは、という単純な話だ。
>
> それを真とするなら、多要素認証におけるパスワード入力は蛇足に過ぎないとする議論にもなりうる。次の話が見えてくるのだ。
はい。
書き方が悪くて伝わらなかったみたいですが、その意見に最初から賛成してます。
つまり、
多要素認証ではなくてもよい例1:
対象: ふつうの人
認証手段: ワンタイムパスワードによる1要素認証
多要素認証ではなくてもよい例2:
対象: サイトごとに異なる、十分に長いランダム生成パスワードを使ってる人
認証手段: 通常のパスワードによる1要素認証
の例2を追加していたんです。
> これが何か正しいとか違うとか、関連する話をした訳ではなかったのかね。
最初から正しいと考えてました。
多要素でなくてもよい例を追加するという意味での関連する話だったんです。
詐術の勝利 (スコア:0)
リスト型や全件は試行回数が多いだけ
スマホなくしたり契約解除したら? (スコア:0)
たとえば、SMS認証をおこなってるサイトで、スマホの契約解除したり、
メール認証おこなってるメールアカウントが消えたりした場合、
どうやってログインするの?
一生ログインできなくなる?
Re:スマホなくしたり契約解除したら? (スコア:2)
本人確認という概念があって、悪意の第三者ならこれが失敗するわけです。本人の意思を受け入れる目的で自動的な本人確認のために電子的に認証を行うのですから、電子的にやらなければならないわけではない。
Re: (スコア:0)
パスワードを忘れた時と同じ。
鍵を無くした時の復旧手順の策定はどこも苦労してるから無くしたつもりで試してみればいい。
Re: (スコア:0)
使えるサービスでは「Google 認証システム」使ってるけど、スマホの修理のファクトリリセットで往生したわ。
PCとスマホで同時利用だったから、PCからログインして多要素認証の解除ができたけど、スマホだけだったらめんどくさいことになりそうだ。
Re: (スコア:0)
結論は、ログインできなくなる。
本人確認の手段として、ユーザID、パスワード、SMSorメールの組み合わせを使用しているときに、どれか一つでも紛失したら、ログインできなくなる。当たり前の話だよね。
アカウント回復のための情報として、名前、住所、電話番号、生年月日をサービス側に提供しており、サポート窓口で間違いなく伝えることができたなら、本人と確定して(みなして)、パスワード等を再発行することはおそらくできる。
ただ、これも個人情報流出の事故の影響で不正利用される恐れはあるから、電話とかではなく、身分証明書の提示が必要となるだろう
分かったので、 (スコア:0)
多要素認証ONにしてるOffice365のアカウントの定期パスワード変更やめちくり
Re: (スコア:0)
誰に向けたお願いか知らないが、Microsoftは相当前から定期パスワード変更を推奨してない。
NISTがDRAFTでやってたころから推奨してたので、少なくとも3年以上前(感覚ではもっと前からだった気がするけど)
https://docs.microsoft.com/ja-jp/office365/admin/misc/password-policy-... [microsoft.com]
>ユーザー向けパスワードの有効期限の要件
>パスワードの有効期限の要件にはメリットもありますがデメリットのほうが多くなります。
こっちは知らなかったけど、
日本の総務省も2018年3月に非推奨に(不要とした)。
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/ [soumu.go.jp]