パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Googleの2段階認証を突破する方法が発見される」記事へのコメント

  • by Anonymous Coward on 2013年02月27日 16時10分 (#2333658)

    ユーザ名とパスワードが分かっていれば、2段階認証を無効化できるってこと?

    • 2段階認証はIDとパスワードを盗んでも物理的なトークン(たいていはAndroidスマートフォンとか)がないと入れないはずが、トークンを触らないでもIDとパスだけでなんとかして通る方法が見つかった。そこから設定が全部いじれるから、「IDとパスを盗まれてもトークンをいじれないと入れない」というのが崩れた。で、修正済み(らしい)。

      親コメント
      • なるほど。

        ただ普通のパスワードと違って「アプリ固有のパスワード」は各アプリごとの使い捨て
        パスワードだから、最初に各アプリ毎に設定する時に使った後は、パスワードの記録は
        廃棄するのが基本。

        アプリ内部に(おそらくは難読化して)保存されている物を吸い出さない限りは、
        第三者がそれを取得するのは無理なはずなので、やっぱり難易度は高いと思う。

        #フィッシングで入力させたり、パスワードのメモを盗み見したり、他のサービスで使ってる
        #パスワードと同じのを使っているのを他サービスから攻略するなどの手段は不可能なはず。

        親コメント
        • by Anonymous Coward

          まあでもそれを言えば言うほど2段階認証の意義をdisる態になりますからね。

          • by Anonymous Coward

            誤変換も含め、なにを言ってるかマジで分からん。

            • by Anonymous Coward

              disる(=ディスる)態(てい) → ののしるありさま

    • by Anonymous Coward on 2013年02月27日 17時21分 (#2333709)

      (1) ユーザー名とアプリ固有パスワードのセットを何らかの方法で盗む
      (2) Googleのログイン系のバグを付き、(1) で得た情報だけからセキュリティ設定を呼び出せる
      (3) セキュリティ設定でパスワードリセット用のリンクを送るバックアップメールアドレスを設定
      (4) パスワードリセットする
      (5) アカウントを乗っ取ってウハウハする

      親コメント
    • by Anonymous Coward

      2段階認証を有効にした場合のログイン方法と権限

      本当のパスワードのみ => 拒否
      本当のパスワード+ワンタイムキー => 全権
      アプリ固有パスワード => 制限付き

      のはずが

      本当のパスワードのみ => 全権(バグ)
      本当のパスワード+ワンタイムキー => 全権
      アプリ固有パスワード => 全権(バグ)

      ってことじゃないか?

Stableって古いって意味だっけ? -- Debian初級

処理中...