アカウント名:
パスワード:
「じゃあ他にどんな手段があるんだよ」ってのがあって。
2段階認証の意義は、どちらかというと2段目の認証がセキュアなことよりも、2段目の認証が1段目と違うルートを使っていることにあるわけじゃんぶっちゃけ特定ユーザーのPC通信内容とSMSの両方を盗聴できる状態にあったら、それ以外の2段階認証を実装したとしてもあっさり破られそうだと思うけどなぁいやまあ生体認証デバイスの統一規格とか出て普及したら話は変わってくるかもしれんが
アメリカとか特有の事情みたいっすな「SMSの送信先が回線交換じゃない」場合に盗聴の可能性があるから…という話らしい日本だとまだ当てはまらないんじゃないかな
sms使うのがいけないので、SSLとかセキュアなプロトコル通せばいいんじゃない?
私はそもそも「2段階認証にSMSにしろ、電話にしろ使うのが間違い」だと思いますね。
「サービスの内容提供にそもそも電話番号がないとできないもの」ならまだしも、サービス提供側へサービスそのものに不要な情報を与えたくない。与えることその物が情報漏洩リスクでしかないので。
サービス提供者側から情報漏れがあった場合、不要なものでクリティカルなものまで漏れてしまう。
「1段目と違うルート」だけであればそれこそ「二つ目のフリーメールアドレス必須」程度で構わない話なのに
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
実際のところ (スコア:3, 興味深い)
「じゃあ他にどんな手段があるんだよ」ってのがあって。
2段階認証の意義は、どちらかというと2段目の認証がセキュアなことよりも、2段目の認証が1段目と違うルートを使っていることにあるわけじゃん
ぶっちゃけ特定ユーザーのPC通信内容とSMSの両方を盗聴できる状態にあったら、それ以外の2段階認証を実装したとしてもあっさり破られそうだと思うけどなぁ
いやまあ生体認証デバイスの統一規格とか出て普及したら話は変わってくるかもしれんが
Re:実際のところ (スコア:4, 参考になる)
アメリカとか特有の事情みたいっすな
「SMSの送信先が回線交換じゃない」場合に盗聴の可能性があるから…という話らしい
日本だとまだ当てはまらないんじゃないかな
Re: (スコア:0)
sms使うのがいけないので、SSLとかセキュアなプロトコル通せばいいんじゃない?
Re: (スコア:0)
私はそもそも「2段階認証にSMSにしろ、電話にしろ使うのが間違い」だと思いますね。
「サービスの内容提供にそもそも電話番号がないとできないもの」ならまだしも、
サービス提供側へサービスそのものに不要な情報を与えたくない。与えることその物が情報漏洩リスクでしかないので。
サービス提供者側から情報漏れがあった場合、不要なものでクリティカルなものまで漏れてしまう。
「1段目と違うルート」だけであればそれこそ「二つ目のフリーメールアドレス必須」程度で構わない話なのに