アカウント名:
パスワード:
ユーザ名とパスワードが分かっていれば、2段階認証を無効化できるってこと?
2段階認証はIDとパスワードを盗んでも物理的なトークン(たいていはAndroidスマートフォンとか)がないと入れないはずが、トークンを触らないでもIDとパスだけでなんとかして通る方法が見つかった。そこから設定が全部いじれるから、「IDとパスを盗まれてもトークンをいじれないと入れない」というのが崩れた。で、修正済み(らしい)。
なるほど。
ただ普通のパスワードと違って「アプリ固有のパスワード」は各アプリごとの使い捨てパスワードだから、最初に各アプリ毎に設定する時に使った後は、パスワードの記録は廃棄するのが基本。
アプリ内部に(おそらくは難読化して)保存されている物を吸い出さない限りは、第三者がそれを取得するのは無理なはずなので、やっぱり難易度は高いと思う。
#フィッシングで入力させたり、パスワードのメモを盗み見したり、他のサービスで使ってる#パスワードと同じのを使っているのを他サービスから攻略するなどの手段は不可能なはず。
まあでもそれを言えば言うほど2段階認証の意義をdisる態になりますからね。
誤変換も含め、なにを言ってるかマジで分からん。
disる(=ディスる)態(てい) → ののしるありさま
(1) ユーザー名とアプリ固有パスワードのセットを何らかの方法で盗む(2) Googleのログイン系のバグを付き、(1) で得た情報だけからセキュリティ設定を呼び出せる(3) セキュリティ設定でパスワードリセット用のリンクを送るバックアップメールアドレスを設定(4) パスワードリセットする(5) アカウントを乗っ取ってウハウハする
2段階認証を有効にした場合のログイン方法と権限
本当のパスワードのみ => 拒否本当のパスワード+ワンタイムキー => 全権アプリ固有パスワード => 制限付き
のはずが
本当のパスワードのみ => 全権(バグ)本当のパスワード+ワンタイムキー => 全権アプリ固有パスワード => 全権(バグ)
ってことじゃないか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
何が問題なのか分からない (スコア:0)
ユーザ名とパスワードが分かっていれば、2段階認証を無効化できるってこと?
Re:何が問題なのか分からない (スコア:3)
2段階認証はIDとパスワードを盗んでも物理的なトークン(たいていはAndroidスマートフォンとか)がないと入れないはずが、トークンを触らないでもIDとパスだけでなんとかして通る方法が見つかった。そこから設定が全部いじれるから、「IDとパスを盗まれてもトークンをいじれないと入れない」というのが崩れた。で、修正済み(らしい)。
Re:何が問題なのか分からない (スコア:1)
なるほど。
ただ普通のパスワードと違って「アプリ固有のパスワード」は各アプリごとの使い捨て
パスワードだから、最初に各アプリ毎に設定する時に使った後は、パスワードの記録は
廃棄するのが基本。
アプリ内部に(おそらくは難読化して)保存されている物を吸い出さない限りは、
第三者がそれを取得するのは無理なはずなので、やっぱり難易度は高いと思う。
#フィッシングで入力させたり、パスワードのメモを盗み見したり、他のサービスで使ってる
#パスワードと同じのを使っているのを他サービスから攻略するなどの手段は不可能なはず。
Re: (スコア:0)
まあでもそれを言えば言うほど2段階認証の意義をdisる態になりますからね。
Re: (スコア:0)
誤変換も含め、なにを言ってるかマジで分からん。
Re: (スコア:0)
disる(=ディスる)態(てい) → ののしるありさま
Re:何が問題なのか分からない (スコア:1)
(1) ユーザー名とアプリ固有パスワードのセットを何らかの方法で盗む
(2) Googleのログイン系のバグを付き、(1) で得た情報だけからセキュリティ設定を呼び出せる
(3) セキュリティ設定でパスワードリセット用のリンクを送るバックアップメールアドレスを設定
(4) パスワードリセットする
(5) アカウントを乗っ取ってウハウハする
Re: (スコア:0)
2段階認証を有効にした場合のログイン方法と権限
本当のパスワードのみ => 拒否
本当のパスワード+ワンタイムキー => 全権
アプリ固有パスワード => 制限付き
のはずが
本当のパスワードのみ => 全権(バグ)
本当のパスワード+ワンタイムキー => 全権
アプリ固有パスワード => 全権(バグ)
ってことじゃないか?