パスワードを忘れた? アカウント作成
15407374 story
セキュリティ

CISA、単一要素認証をサイバーセキュリティの「バッドプラクティス」リストに追加 43

ストーリー by headless
単一 部門より
headless 曰く、

米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は8月30日、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加した (ニュースリリース)。

単一要素認証では、パスワードなど単一要素がユーザー名に一致するだけでシステムへのアクセスが可能になる。そのため、単一要素認証は一般的な低セキュリティ認証方法となっている。バッドプラクティスはすべての組織が回避すべきだが、重要インフラや国家の重要機能 (NCF) を担う組織ではとりわけ危険とのこと。

現在、CISA がバッドプラクティスとしているのは以下 3 件。

  1. サポートされないソフトウェアの使用
  2. 既知/固定/デフォルトパスワードの使用
  3. 単一要素認証の使用

重要インフラや NCF を担う組織以外でも避けるべきであり、特にインターネットからアクセス可能な場合は危険度が増すと説明されている。

  • by Anonymous Coward on 2021年09月04日 15時46分 (#4106101)

    頑張って高セキュリティな面倒な認証を導入すると、認証のめんどくささに対応して抜け道が作られる
    でそのうち抜け道を悪い人に悪用されやすくなる

    ここに返信
  • by Anonymous Coward on 2021年09月04日 17時23分 (#4106160)

    スマホ(携帯も)持ってないおじさんは肩身が狭い

    ここに返信
    • by Anonymous Coward on 2021年09月04日 21時51分 (#4106265)

      ガラケーに認証コード送られてきてたのが、スマホにアプリインストールしてそいつが生成する番号を入れろ、に変更されたサイトがありましてね。
      スマホからログインしようとするとそのスマホのアプリが生成する番号を入れろとか、何言ってんだこいつ

      • by Anonymous Coward on 2021年09月05日 3時39分 (#4106343)

        〉スマホからログインしようとするとそのスマホのアプリが生成する番号を入れろとか、何言ってんだこいつ

        あーありますよねそういうサービス
        スマホが乗っ取られたら意味ないじゃんと思いつつも使ってますよ
        二要素認証は異なるデバイスで生成したコードを入力させるようにして欲しい

        • by Anonymous Coward

          二要素認証は異なるデバイスで生成したコードを入力させるようにして欲しい

          二「要素」認証なので、そこまでは要求されていないからね。

      • by Anonymous Coward

        SMSは安全性の問題があって、TOTPじゃないと二要素認証として認められなくなりつつあるんだよ
        日本では比較的問題になってなかったけど、eSIMの普及で海外と同じ問題が起こる可能性がある

        • by Anonymous Coward

          不正アプリによる傍受の可能性なら、それはSMSそのものの問題じゃなくてスマホOSの問題ですし、
          発信者番号の偽装や不正転送の問題なら、それはキャリア側の問題では。

          専用アプリによるワンタイムパスワード認証にしたところでそれらは解決しないですよ。

          • by Anonymous Coward

            NISTがSMS認証は非推奨って言ってる。
            そもそも、不正アプリが皆OSの問題点や脆弱性を突いてる訳じゃない(SMSへのアクセス権をしれっと混ぜるだけなので)
            専用アプリなら、他のアプリから攻撃するのは難しいんじゃないかな(rootでも取られない限りは)
            アプリならキャリアの問題とやらも関係ないし。

          • by Anonymous Coward

            不正アプリ云々でなくSMSは本人に送られるとは限らない仕組みだからダメって話。
            SMSそのものの問題だよ。

            • by Anonymous Coward

              ここ教えてほしいのですが、SMSは特定のSIMを挿した端末以外にも送信される可能性がある、ということなのですか?

              • by Anonymous Coward

                SIMスワップでぐぐってみ。
                出来るし現実に問題になってるから非推奨なんだよ。

              • by Anonymous Coward

                LINEのSMS認証は突破されたことがあるな
                こっちにSMSは届いてないのに送信した、ログインされたって通知が来た

              • by Anonymous Coward

                SIMスワップは現実問題として日本では難しいのじゃないかな。
                ついでに回線の盗聴も。

                どちらかというとスマホ上でのアプリのSMSの権限の不正付与の方が問題だと思う。

              • by Anonymous Coward

                実際に日本では難しいんだとしても、今後国際標準としてSMSでのワンタイムパスワードはNGになる可能性は高い。

              • by Anonymous Coward

                それはそうかもね。
                ただ、SMS認証はお手軽という利点があるから国際標準でNGになっても現実にどこまで駆逐できるかは正直ちょっと疑問。

                技術として優れていても、技術者の思い通りにいかなかった例はたくさんあるからね。

              • by Anonymous Coward

                SMSは送信コストが高いから、できればサービス側も無くなって欲しいと思ってるはず。
                なので、駆逐も早い。

      • by Anonymous Coward

        スマホにアプリインストールしてそいつが生成する番号を入れろ

        SMBCがそんなんだった

    • by Anonymous Coward

      HWトークンとかドングルとかにしてもらえばいい。
      ぜんぜん肩身は狭くない。

      スマホそっくりでスマホと同じ料金がかかるHWトークンになるかも
      しれないけど、そこは自分の認識を歪めれば大丈夫。

      • by Anonymous Coward

        銀行は、もしスマホの故障やメアドの変更とかで、インターネットサービスが使えなくなっても、
        最悪リアルなATMや店舗っていうバックアップがあるが、
        インターネットはバックアップなしでアカウント永久に使えなくなったりするからな

        • by Anonymous Coward

          バックアップとっとけばいいじゃん。
          多要素(というか三要素以上使うの知らんけど)だと大抵バックアップキー発行されるだろ。
          それにOTPならスマホ以外でも生成可能なように秘密鍵を管理しておけばいい。
          OTPはパスワード管理ツールでバックアップキーと秘密鍵を管理、OTPの生成はスマホとPCと両方で可能なようにしてる。
          パスワード管理ツールもバックアップあるからPCとスマホの両方同時に失ってもなんとかなる。
          OTPでないのはこれが出来ないので困りもの。eBay、Yahoo、お前らだよ。

          • by Anonymous Coward

            この手のバックアップキー/情報をどのようにして保存したらいいのか毎回悩む

            • by Anonymous Coward

              プリントアウトしてスマホカバーに挟んでおく

              • by Anonymous Coward

                それだとスマホなくしたときにはバックアップからの復元ができないのでは?
                加えてなくしたときに他人にバックアップから復元される危険性も

                ネタにマジレス?

      • by Anonymous Coward

        昔はキーホルダー式のトークンだったのに、
        スマホに移行しろって案内が来たんだ…orz

        # PayPay銀行のことです
        # https://www.japannetbank.co.jp/token/switch/01.html [japannetbank.co.jp]

        • by Anonymous Coward

          え、二週間ぐらい前に勝手にカード型トークン送られてきたよ。

          #厚みまでクレジットカードサイズなのに電池内蔵。ディスプレイは電子ペーパー

        • by Anonymous Coward

          個人口座は1000円で新トークンが送られて来ますよ

        • by Anonymous Coward

          利用状況次第では、#4106191のように ハードウェアトークン (カード型) が送られてくるらしい。
          このカードがまたぺらぺらで、いかにも耐久性なさそうな感触のうえ、その表面のボタンを押さないと数字が表示されないという。
          ソフトウェアトークンのほうでも、やらかしてるし。
          https://help.japannetbank.co.jp/hc/ja/articles/900001941503 [japannetbank.co.jp]

          完全撤退まではしませんが、口座金額の9割を移動させましたとも。正直、不安しかありません。

      • by Anonymous Coward

        「スマホしか対応してません。嫌なら使うな。」で終了ですな。
        ついでにスマホ紛失時などの復旧手段も結局はパスコードだったりする。

    • by Anonymous Coward

      会社ならパスワード+社員証、オンラインバンクならパスワード+ICカード入キャッシュカードかな。

      社員証忘れたらパソコン使えなくなるけど

      • by Anonymous Coward

        PC使えない以前に社員証忘れたら入館出来ないとこが大半じゃないか。

        • by Anonymous Coward

          忘れたら臨時社員証とか臨時入館カードがある

          でも社員証とは違うIDで開いているからID認証機能付きコピー機には使えず
          手動でパスワード入れないと印刷できない。

    • by Anonymous Coward

      スマフォもケータイも持ってるんですけど、仕事でアクセスするサイトが二段階認証しかダメで仕事なのに個人のスマフォで認証はダメでしょ!と、ドングルと言っていいのかな yubikey ってのを買いましたよ。個人のスマフォを含んで登録すると属人化しそうなのでどうしたものかと小一時間悩みました。選択肢に yubikey があってよかったです。

  • by Anonymous Coward on 2021年09月04日 16時18分 (#4106118)

    今回の三件のバッドプラクティスなんて当たり前すぎる。
    それを指摘しないといけないようなシステムや人材は捨てるべきだよ。

    #アカウント名もパスワードの一種と考えて類推されやすい垢名を禁止したりハッシュだけ保存してると攻撃が面倒になる。アホっぽいけどw

    ここに返信
  • パスワードが1つで、かつパスワードをユーザーが設定っていうのが、
    不正ログインが多い最大の理由

    パスワードは、サーバが設定するパスワードと、ユーザーが設定するパスワードの2つ使う方式がいい
    仮にユーザーが他のサイトとパスワード共用しても、サーバが設定するパスワードはサイトごとにバラバラになるので、
    類推されない

    ここに返信
    • それな。
      俺が関係してるシステムは全部システム側生成にさせてる。

      #ただ今度はメモ帳にパスワード問題がw

    • 使うたびにパスワードを忘れるので、パスワードのリセット要求して、届いたメールのURLにランダムに生成したパスワードを入れて、手続きが終わったらやっぱり忘れる。

    • by Anonymous Coward

      そもそもユーザーが設定するパスワードは不要じゃない?

      • by Anonymous Coward

        パスワードを設定はユーザーにさせるべきってルールがあったような、建付け上は。
        ユーザーのみが知り得る(管理者が知り得ない)情報でログインが行われるために。

        • by Anonymous Coward

          一般的なパスワード認証は、認証時サーバーにパスワード送ってる=管理者が知ることができる。ほとんどの場合がその建前は破綻してる。

          #公開鍵/秘密鍵のような仕組みのパスワードにすれば管理者が知れない状態にはできる

          • by Anonymous Coward

            チャレンジ&レスポンスにすれば認証時にパスワード送らなくて済むよ!

            でもヨイ子のみんなは真似すんな。

            • by Anonymous Coward

              チャレンジ&レスポンスは管理者はパスワードを知ってないといけない。
              サーバーにパスワードがないとクライアントから送られてきた認証情報が正しいかどうかを判定できない。
              経路上でパスワードを盗めないだけ。

          • by Anonymous Coward

            javascriptを利用してチャレンジレスポンス認証を実装したようなのがあったはず

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...