パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Gmail への不正アクセスが相次ぐ」記事へのコメント

  • by Anonymous Coward on 2012年12月28日 11時27分 (#2298008)

    2段階認証すれば完全にソーシャルハックと物理的盗難がなければほぼ問題ない事はわかるわけですけれど

    2段階認証だと
    ・対応してないアプリとかどうすんの?
    ・ケータイ/スマフォ壊れたらおしまいじゃん
    と言う事があってどうも踏み切れません。

    とりあえず今は複雑なパスワードにすることで対応していますけれど、みなさんこのあたりどう折り合いつけているんでしょうか?

    • ・ケータイ/スマフォ壊れたらおしまいじゃん

      それには、事前にバックアップ コード [google.com]を印刷しておくなりして、という事にはなるんだけど、そこまで意識せずに設定しちゃう人は多いだろうなぁ。

      親コメント
    • by Anonymous Coward on 2012年12月28日 14時57分 (#2298197)

      2段階認証にしたらFirefoxを起動する度に認証コードのメールが届いてうざーっとなりました。
      なんだろうこれ?と思って、Googleアカウントにアクセスしそうなアドオンなどを中心にチェックしてみたら
      Gmail Managerを切ると大人しくなる所までは判明。
      が、対処する術がないのでアドオン削除する事にしました。

      親コメント
    • 意気揚々と二段階認証にして、wanderlust で Gmail が読めなくなって早々に二段階認証を外したアカウントがこちらになります…。

      --
      Hiroki (REO) Kashiwazaki
      親コメント
      • by Anonymous Coward

        アプリケーション固有のパスワードを発行して
        それをぶち込んでやればアクセスできますよ。
        スマートホンでも、認証アプリがうまく動かない時とかも
        これを使えば大丈夫です。

        が、セキュアレベルは下がるということですよね。
        アプリ側で乱数文字列を確認できれば流用できるということでしょうから。
        もちろんWEBから無効にすることはできますが。

        • wanderlust ではいつも Gmail フォルダにアクセスするときパスワードを手入力していて、これを変更してアプリケーション固有のパスワードを使うのは面倒だなあとか思いつつ、この際だから elmo-passwd-alist-save でパスワードを保存しちゃおうか、という気持ちになりました。

          しかしながら今度は SMTP auth のところで、これまでであればパスワードの対話が始まるはずのところで、唐突に

          SMTP response error: 535, "5.7.1 Application-specific password required. Learn more at http://support.google.com/accounts/bin/answer.py?answer=185833 [google.com] o5sm19771443paz.32"

          となってお手上げですよ。というわけで二段階認証を外しました (本日二度目) 。

          --
          Hiroki (REO) Kashiwazaki
          親コメント
    • >・ケータイ/スマフォ壊れたらおしまいじゃん
      既に認証されたPCがあれば、そっちから二段階認証をOFFにしたりはできるんじゃないの?
      バックアップ用の電話番号も設定で着るみたいだね。

      メインとサブのPCとバックアップの電話番号を用意しておけば、複数のPCとケータイ/スマフォが同時に
      壊れるという可能性はかなり低いのでは。

      しかし、
      >そこまで意識せずに設定しちゃう人は多いだろうなぁ。
      という意見に同意。

      実際にHDDがクラッシュするまでデータのバックアップを取らない人は、意外に多いということだな。自分も含めて。orz

      親コメント
    • by Anonymous Coward

      ・ケータイ/スマフォは持ってないのでそもそも無理じゃん

    • by Anonymous Coward

      > ・対応してないアプリとかどうすんの?
      アプリケーション固有のパスワードを発行する方法がある
      http://support.google.com/accounts/bin/answer.py?hl=ja&ctx=ch_b%2F... [google.com]

      > ・ケータイ/スマフォ壊れたらおしまいじゃん
      認証済み端末があれば、普通にメールアドレス変更すればよろしい。壊れて捨てたなら知らん

      # 二段階認証はつど認証するのではなく、ハード単位で認証です。

      • by Anonymous Coward

        この固有のパスワードって英字のみの16桁みたいなんですが
        強度的にどうなんだろうと心配になります。
        極力増やさないようにするしかないんですかね。

        • パスワードに使いうる文字の種類は、ASCIIコード表 [wikipedia.org]をざっと見て、95種類。この95種類を使ったn文字のパスワードと、英字小文字26種類のみを使ったパスワードmが同じ強度を持つとすると、ざっと、

          95n = 26mから、
          n = m (log 26 / log 95) = 約0.72m

          なので、英字小文字のみの16文字のパスワードの強度は、思いつく限りの文字を均等に使った11~2文字と同じぐらいですね。

          小文字のみでそこそこ長いランダムなパスワードというのは意外と強力な割に入力しやすいので、wifiとかの入力回数が少ない場面で多用してます。

          ちゃんと検討した事は無かったのですが、m/nは1.4ぐらいなので、小文字のみのパスワードを使う場合は、記号も全部使った場合に「これで安全」と思える長さのおおむね1.5倍ぐらいにしておけばOK、ということになりますね。あくまで、徹底的にランダムな文字列の場合のみの話ですが。
          親コメント
        • by Anonymous Coward on 2012年12月28日 12時16分 (#2298053)

          利用してみましたが、単語でもない意味をなさない乱数だから、
          アタックするにしても総当りぐらいしかないだけで。
          ベタの確率そのものでしょう。

          設定したアプリそのものから読み取られるとか、
          平文で流すアプリの途中をパケット盗み見される以外
          現実的ではないでしょう。

          メインのアカウントを操作するためのパスワードとして使えるならアウトだけど。

          親コメント
    • by Anonymous Coward

      ・対応してないアプリとかどうすんの?

      「アプリケーション固有のパスワード」でアプリごとに別々のパスワードが生成できます。

    • by Anonymous Coward
      > ・対応してないアプリとかどうすんの?
      従来と同じパスワード認証で認証できるパスワードをランダムに作成できます。対応していないアプリには、それを使って認証させます。
      POP3 で使うとメーラなんかに覚えさせちゃうことになると思いますので、そのパスワード文字列は一度画面に表示されたあとは、再度表示させる手段はありません。
      パスワードは適当なラベルをつけて複数作成・管理することができ、個別に破棄にできますので、接続クライアントごとに変えて何かあやしいことがあれば、その都度破棄して新しく作るって形になります。

      > ・ケータイ/スマフォ壊れたらおしまいじゃん
      複数の手段があるので、同時に全部いっちゃわなければ代替手段はなにかあるはずです。
    • by Anonymous Coward

      総当たりでやってるとは思えないので
      パスワードを必要以上に複雑にしても対策にはならないでしょうね

    • by Anonymous Coward

      ・ケータイ/スマフォ壊れたらおしまいじゃん

      複数持っていればサブの認証先が作れるのと、
      (すでに指摘があるとおり)最終手段としての印刷用パスコードで担保、という形でしょうねぇ。
      故障して取り替えたら、認証済PC等からの認証方法変更で対処、かと。

      # 音声でのワンタイムパスワード通知は、いざとなれば携帯電話以外の電話機が指定できるというのも。
      # まぁ、とはいえ、携帯電話以外持ってませんって人は多そうだが。。。

    • by Anonymous Coward

      とりあえず手順を一通り読めばいずれも対応方法は書いてあります。

    • by Anonymous Coward

      個人に対する攻撃でなければ総当り攻撃的な手法は採られないと思われるので、
      パスワードそのものに関しては辞書攻撃に強いパスワードにするくらいしか対策法はないのかなぁと。
      ただ、今回はパスワードの強度に関係ない攻撃の可能性がありそうなので、そこは自分が気を付ける以外になさそうです。

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...