アカウント名:
パスワード:
携帯端末必須ってのが気持ち悪いんだけど何とかしてくれね。たかが認証のために二年縛り契約の端末をつくらないといけないとか
私はそうは思わないですね。どんなに複雑なパスワードを使っていてもパソコンにキーロガーを設置されてパスワードを盗まれたら終わりですし、(特にスマホでない)携帯電話なら同時に落とすのが難しい分、セキュリティ的に堅くなっていると思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
いや、そんなことより (スコア:2)
携帯端末必須ってのが気持ち悪いんだけど何とかしてくれね。
たかが認証のために二年縛り契約の端末をつくらないといけないとか
Re: (スコア:1)
# 十分に複雑なパスワードを設定できないサービスもあるけど・・・それは論外。設定できるのが数字8桁のみとか。
本来は、
1. 十分に複雑なパスワードを使う
2. 同じパスワードを異なるサービスで使い回さない
という対策を常に心がける必要があるところ、2段階認証サービス対応なサービスのみを使うのであれば、両方を怠っても、怠らなかった時と
Re: (スコア:0)
私はそうは思わないですね。
どんなに複雑なパスワードを使っていてもパソコンにキーロガーを
設置されてパスワードを盗まれたら終わりですし、(特にスマホでない)
携帯電話なら同時に落とすのが難しい分、セキュリティ的に堅くなっていると
思います。
Re:いや、そんなことより (スコア:1)
まあ、「漠然とした一般的な攻撃」に対する耐性は上がりますから、全くの無駄ではないですが。 2段階認証用のコードは、正しくサイトに送られた時点で無効となるワンタイムパスワードになっていて使い回しが出来ないので、 「漠然と押されたキーを記録して後で攻撃者に送る」タイプのロガーだったら、攻撃者に送られた時点でコードは無効になってますし。 アカウント乗っ取りのチャンスは、「コードが入力された」あと「ENTERキーが入力される」前の一瞬ぐらいなので、 そこを狙う、より高度なマルウェアでなければ、攻撃が成立しません。
ただ、キーロガーを仕込むのって、OSのセキュリティ的な観点から見て、遠隔操作ウィルスを仕込むのと大差ない話なので、 そんなややこしいことをせず、ユーザが2段階でログインした後のブラウザを遠隔操作してやれば良いんですが・・・。
もちろん、一操作毎に2段階認証をかければ、また話は違ってきますが。ツイッターであれば、1ツイート毎に携帯に送られてきたコードを入力しないとダメ、とすると幾分マシになるかも知れません。ですが、既存の2段階認証のサイトを見る限り、そういう使いづらいUIにはなっていません。
まあ、基本的に、キーロガーを仕込まれるような致命的な状態で何を考えても無駄だと思いますよ。
ただ、ちょっと興味深いので突っ込んで考えてみましたが、出先の信用できないネカフェの端末からログインせざるを得ないような場合に、 2段階認証を上手く使うと、ログイン中に何かしらの攻撃を受ける可能性だけは諦めればばなんとかなる、みたいな切り口はあり得ると思います。
その場合、その信用できない端末上で「ログアウト」ボタンを押しても意味がない(その端末に攻撃の意図があるなら、ログアウト操作を無視してセッションを維持して、ユーザが立ち去った後も悪用を続ければよい)ので、別途、確実にログアウトする方法を用意する必要とか、細かく考え出すと色々ありますが・・・。
「2段階認証のコードを送ってきたSMSに返信すればログアウト」とか「何があっても1時間でログアウトする(サーバ側でセッションを無効化する)」とか「このログインは読むだけ、発言は1ツイート毎に2段階認証する」みたいなオプションを用意するとか。 ついでに、ユーザがブラウザ上で「そのオプションを選んだ」というのを、怪しい端末がその通りに処理するかどうか信用できないので、「このオプションを選んだときのみ、2段階認証のコードの1文字目が『0』に固定され、いつもより1文字長くなります。送られてきたコードが確実にそうなっていることを確かめて下さい」みたいに、信用できない端末を経由しない方法でユーザの希望通りの操作になっていると確認出来るような対策も必要でしょうか。ツイートをするなら、「この文章でツイートするならこのコードを入力」みたいなSMSが送られてくる、など、ツイートの内容に関しても。
ツイッターだと、もうSMS経由でツイートできる仕組みを作れよ、って話になると思いますが、まあ、gmailなんかのウェブメールサービスとかそう言うので。