改善は期待できるにせよ、本質的には変わらないと思いますよ。あの事件は、大ざっぱには「パスワード無しに個人情報を書き換える(クレジットカードを追加登録する)方法があるサイト」と「パスワード以外の個人情報(クレジットカード情報)からパスワードリセット出来るサイト」とかを悪用した合わせ技でしたし。

# あとは、簡単に推測できる情報を本人確認に使ったとかも

2段階認証なアカウントに対して同じ攻撃をした場合、最後が「2段階認証用の携帯電話番号とパスワードを同時に変えたいんだけど」といういかにも胡散臭い申し出になるので、サービス提供者がそれを適切に蹴ってくれるならば安心です。「パスワードを変えたい」と同じプロセスで処理されてしまうなら、セキュリティは改善しないと思います。

ただ、「両方を変えたいんだけど」の申し出がより丁寧に処理されるようになって安心、と言うのは期待できるかも知れません。 2段階認証に頼れば単純なパスワード使い回してもある程度大丈夫になるので、 ライトユーザを中心に、パスワードをリセットしなきゃならない場面も減るでしょう。 すると、その問い合わせが減る分だけ、サービス提供者は個々の問い合わせに対して厳密な本人確認を実施できるようになり、 パスワードリセット攻撃のハードルも上がる、とか。

SMSで送られてくる2段階認証用のコードも、結局、そのキーロガー付きキーボードから入力することになるのでそんなには変わりませんよ・・・。

まあ、「漠然とした一般的な攻撃」に対する耐性は上がりますから、全くの無駄ではないですが。 2段階認証用のコードは、正しくサイトに送られた時点で無効となるワンタイムパスワードになっていて使い回しが出来ないので、 「漠然と押されたキーを記録して後で攻撃者に送る」タイプのロガーだったら、攻撃者に送られた時点でコードは無効になってますし。 アカウント乗っ取りのチャンスは、「コードが入力された」あと「ENTERキーが入力される」前の一瞬ぐらいなので、 そこを狙う、より高度なマルウェアでなければ、攻撃が成立しません。

ただ、キーロガーを仕込むのって、OSのセキュリティ的な観点から見て、遠隔操作ウィルスを仕込むのと大差ない話なので、 そんなややこしいことをせず、ユーザが2段階でログインした後のブラウザを遠隔操作してやれば良いんですが・・・。

もちろん、一操作毎に2段階認証をかければ、また話は違ってきますが。ツイッターであれば、1ツイート毎に携帯に送られてきたコードを入力しないとダメ、とすると幾分マシになるかも知れません。ですが、既存の2段階認証のサイトを見る限り、そういう使いづらいUIにはなっていません。

まあ、基本的に、キーロガーを仕込まれるような致命的な状態で何を考えても無駄だと思いますよ。

ただ、ちょっと興味深いので突っ込んで考えてみましたが、出先の信用できないネカフェの端末からログインせざるを得ないような場合に、 2段階認証を上手く使うと、ログイン中に何かしらの攻撃を受ける可能性だけは諦めればばなんとかなる、みたいな切り口はあり得ると思います。

その場合、その信用できない端末上で「ログアウト」ボタンを押しても意味がない(その端末に攻撃の意図があるなら、ログアウト操作を無視してセッションを維持して、ユーザが立ち去った後も悪用を続ければよい)ので、別途、確実にログアウトする方法を用意する必要とか、細かく考え出すと色々ありますが・・・。

「2段階認証のコードを送ってきたSMSに返信すればログアウト」とか「何があっても1時間でログアウトする(サーバ側でセッションを無効化する)」とか「このログインは読むだけ、発言は1ツイート毎に2段階認証する」みたいなオプションを用意するとか。 ついでに、ユーザがブラウザ上で「そのオプションを選んだ」というのを、怪しい端末がその通りに処理するかどうか信用できないので、「このオプションを選んだときのみ、2段階認証のコードの1文字目が『0』に固定され、いつもより1文字長くなります。送られてきたコードが確実にそうなっていることを確かめて下さい」みたいに、信用できない端末を経由しない方法でユーザの希望通りの操作になっていると確認出来るような対策も必要でしょうか。ツイートをするなら、「この文章でツイートするならこのコードを入力」みたいなSMSが送られてくる、など、ツイートの内容に関しても。

ツイッターだと、もうSMS経由でツイートできる仕組みを作れよ、って話になると思いますが、まあ、gmailなんかのウェブメールサービスとかそう言うので。