CISA、単一要素認証をサイバーセキュリティの「バッドプラクティス」リストに追加 43
ストーリー by headless
単一 部門より
単一 部門より
headless 曰く、
米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は8月30日、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加した (ニュースリリース)。
単一要素認証では、パスワードなど単一要素がユーザー名に一致するだけでシステムへのアクセスが可能になる。そのため、単一要素認証は一般的な低セキュリティ認証方法となっている。バッドプラクティスはすべての組織が回避すべきだが、重要インフラや国家の重要機能 (NCF) を担う組織ではとりわけ危険とのこと。
現在、CISA がバッドプラクティスとしているのは以下 3 件。
- サポートされないソフトウェアの使用
- 既知/固定/デフォルトパスワードの使用
- 単一要素認証の使用
重要インフラや NCF を担う組織以外でも避けるべきであり、特にインターネットからアクセス可能な場合は危険度が増すと説明されている。
面倒な認証にすると抜け道が作られる (スコア:1)
頑張って高セキュリティな面倒な認証を導入すると、認証のめんどくささに対応して抜け道が作られる
でそのうち抜け道を悪い人に悪用されやすくなる
二段階認証を強いられているんだ (スコア:1)
スマホ(携帯も)持ってないおじさんは肩身が狭い
Re:二段階認証を強いられているんだ (スコア:1)
ガラケーに認証コード送られてきてたのが、スマホにアプリインストールしてそいつが生成する番号を入れろ、に変更されたサイトがありましてね。
スマホからログインしようとするとそのスマホのアプリが生成する番号を入れろとか、何言ってんだこいつ
Re:二段階認証を強いられているんだ (スコア:1)
〉スマホからログインしようとするとそのスマホのアプリが生成する番号を入れろとか、何言ってんだこいつ
あーありますよねそういうサービス
スマホが乗っ取られたら意味ないじゃんと思いつつも使ってますよ
二要素認証は異なるデバイスで生成したコードを入力させるようにして欲しい
Re: (スコア:0)
二要素認証は異なるデバイスで生成したコードを入力させるようにして欲しい
二「要素」認証なので、そこまでは要求されていないからね。
Re: (スコア:0)
SMSは安全性の問題があって、TOTPじゃないと二要素認証として認められなくなりつつあるんだよ
日本では比較的問題になってなかったけど、eSIMの普及で海外と同じ問題が起こる可能性がある
Re: (スコア:0)
不正アプリによる傍受の可能性なら、それはSMSそのものの問題じゃなくてスマホOSの問題ですし、
発信者番号の偽装や不正転送の問題なら、それはキャリア側の問題では。
専用アプリによるワンタイムパスワード認証にしたところでそれらは解決しないですよ。
Re: (スコア:0)
NISTがSMS認証は非推奨って言ってる。
そもそも、不正アプリが皆OSの問題点や脆弱性を突いてる訳じゃない(SMSへのアクセス権をしれっと混ぜるだけなので)
専用アプリなら、他のアプリから攻撃するのは難しいんじゃないかな(rootでも取られない限りは)
アプリならキャリアの問題とやらも関係ないし。
Re: (スコア:0)
不正アプリ云々でなくSMSは本人に送られるとは限らない仕組みだからダメって話。
SMSそのものの問題だよ。
Re: (スコア:0)
ここ教えてほしいのですが、SMSは特定のSIMを挿した端末以外にも送信される可能性がある、ということなのですか?
Re: (スコア:0)
SIMスワップでぐぐってみ。
出来るし現実に問題になってるから非推奨なんだよ。
Re: (スコア:0)
LINEのSMS認証は突破されたことがあるな
こっちにSMSは届いてないのに送信した、ログインされたって通知が来た
Re: (スコア:0)
SIMスワップは現実問題として日本では難しいのじゃないかな。
ついでに回線の盗聴も。
どちらかというとスマホ上でのアプリのSMSの権限の不正付与の方が問題だと思う。
Re: (スコア:0)
実際に日本では難しいんだとしても、今後国際標準としてSMSでのワンタイムパスワードはNGになる可能性は高い。
Re: (スコア:0)
それはそうかもね。
ただ、SMS認証はお手軽という利点があるから国際標準でNGになっても現実にどこまで駆逐できるかは正直ちょっと疑問。
技術として優れていても、技術者の思い通りにいかなかった例はたくさんあるからね。
Re: (スコア:0)
SMSは送信コストが高いから、できればサービス側も無くなって欲しいと思ってるはず。
なので、駆逐も早い。
Re: (スコア:0)
スマホにアプリインストールしてそいつが生成する番号を入れろ
SMBCがそんなんだった
Re: (スコア:0)
HWトークンとかドングルとかにしてもらえばいい。
ぜんぜん肩身は狭くない。
スマホそっくりでスマホと同じ料金がかかるHWトークンになるかも
しれないけど、そこは自分の認識を歪めれば大丈夫。
Re: (スコア:0)
銀行は、もしスマホの故障やメアドの変更とかで、インターネットサービスが使えなくなっても、
最悪リアルなATMや店舗っていうバックアップがあるが、
インターネットはバックアップなしでアカウント永久に使えなくなったりするからな
Re: (スコア:0)
バックアップとっとけばいいじゃん。
多要素(というか三要素以上使うの知らんけど)だと大抵バックアップキー発行されるだろ。
それにOTPならスマホ以外でも生成可能なように秘密鍵を管理しておけばいい。
OTPはパスワード管理ツールでバックアップキーと秘密鍵を管理、OTPの生成はスマホとPCと両方で可能なようにしてる。
パスワード管理ツールもバックアップあるからPCとスマホの両方同時に失ってもなんとかなる。
OTPでないのはこれが出来ないので困りもの。eBay、Yahoo、お前らだよ。
Re: (スコア:0)
この手のバックアップキー/情報をどのようにして保存したらいいのか毎回悩む
Re: (スコア:0)
プリントアウトしてスマホカバーに挟んでおく
Re: (スコア:0)
それだとスマホなくしたときにはバックアップからの復元ができないのでは?
加えてなくしたときに他人にバックアップから復元される危険性も
ネタにマジレス?
Re: (スコア:0)
昔はキーホルダー式のトークンだったのに、
スマホに移行しろって案内が来たんだ…orz
# PayPay銀行のことです
# https://www.japannetbank.co.jp/token/switch/01.html [japannetbank.co.jp]
Re: (スコア:0)
え、二週間ぐらい前に勝手にカード型トークン送られてきたよ。
#厚みまでクレジットカードサイズなのに電池内蔵。ディスプレイは電子ペーパー
Re: (スコア:0)
個人口座は1000円で新トークンが送られて来ますよ
Re: (スコア:0)
利用状況次第では、#4106191のように ハードウェアトークン (カード型) が送られてくるらしい。
このカードがまたぺらぺらで、いかにも耐久性なさそうな感触のうえ、その表面のボタンを押さないと数字が表示されないという。
ソフトウェアトークンのほうでも、やらかしてるし。
https://help.japannetbank.co.jp/hc/ja/articles/900001941503 [japannetbank.co.jp]
完全撤退まではしませんが、口座金額の9割を移動させましたとも。正直、不安しかありません。
Re: (スコア:0)
「スマホしか対応してません。嫌なら使うな。」で終了ですな。
ついでにスマホ紛失時などの復旧手段も結局はパスコードだったりする。
Re: (スコア:0)
会社ならパスワード+社員証、オンラインバンクならパスワード+ICカード入キャッシュカードかな。
社員証忘れたらパソコン使えなくなるけど
Re: (スコア:0)
PC使えない以前に社員証忘れたら入館出来ないとこが大半じゃないか。
Re: (スコア:0)
忘れたら臨時社員証とか臨時入館カードがある
でも社員証とは違うIDで開いているからID認証機能付きコピー機には使えず
手動でパスワード入れないと印刷できない。
Re: (スコア:0)
スマフォもケータイも持ってるんですけど、仕事でアクセスするサイトが二段階認証しかダメで仕事なのに個人のスマフォで認証はダメでしょ!と、ドングルと言っていいのかな yubikey ってのを買いましたよ。個人のスマフォを含んで登録すると属人化しそうなのでどうしたものかと小一時間悩みました。選択肢に yubikey があってよかったです。
単一要素認証=二要素認証 (スコア:0)
今回の三件のバッドプラクティスなんて当たり前すぎる。
それを指摘しないといけないようなシステムや人材は捨てるべきだよ。
#アカウント名もパスワードの一種と考えて類推されやすい垢名を禁止したりハッシュだけ保存してると攻撃が面倒になる。アホっぽいけどw
主要インターネットサービスはパスワードを2つにすればいい (スコア:0)
パスワードが1つで、かつパスワードをユーザーが設定っていうのが、
不正ログインが多い最大の理由
パスワードは、サーバが設定するパスワードと、ユーザーが設定するパスワードの2つ使う方式がいい
仮にユーザーが他のサイトとパスワード共用しても、サーバが設定するパスワードはサイトごとにバラバラになるので、
類推されない
Re:主要インターネットサービスはパスワードを2つにすればいい (スコア:1)
それな。
俺が関係してるシステムは全部システム側生成にさせてる。
#ただ今度はメモ帳にパスワード問題がw
Re:主要インターネットサービスはパスワードを2つにすればいい (スコア:1)
使うたびにパスワードを忘れるので、パスワードのリセット要求して、届いたメールのURLにランダムに生成したパスワードを入れて、手続きが終わったらやっぱり忘れる。
Re:主要インターネットサービスはパスワードを2つにすればいい (スコア:1)
ワンタイムパスワード認証ですね、わかります
Re: (スコア:0)
そもそもユーザーが設定するパスワードは不要じゃない?
Re: (スコア:0)
パスワードを設定はユーザーにさせるべきってルールがあったような、建付け上は。
ユーザーのみが知り得る(管理者が知り得ない)情報でログインが行われるために。
Re: (スコア:0)
一般的なパスワード認証は、認証時サーバーにパスワード送ってる=管理者が知ることができる。ほとんどの場合がその建前は破綻してる。
#公開鍵/秘密鍵のような仕組みのパスワードにすれば管理者が知れない状態にはできる
Re: (スコア:0)
チャレンジ&レスポンスにすれば認証時にパスワード送らなくて済むよ!
でもヨイ子のみんなは真似すんな。
Re: (スコア:0)
チャレンジ&レスポンスは管理者はパスワードを知ってないといけない。
サーバーにパスワードがないとクライアントから送られてきた認証情報が正しいかどうかを判定できない。
経路上でパスワードを盗めないだけ。
Re: (スコア:0)
javascriptを利用してチャレンジレスポンス認証を実装したようなのがあったはず