アカウント名:
パスワード:
社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。
しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、
> Google アカウントのIDは公開情報(メールアドレス)なので入手可。
恋人や結婚相手に対して隠したいことがあるならGoogleアカウント自体を分けますのでGoogleアカウントのIDは不明のほうが普通ですよメールアドレスは公開情報だと言い張るなら世の中のすべてのセレブのメールアドレスをあなたがここに書いてみてください公開されてるんでしょ?よろしくお願いしますね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
Google アカウント等は2段階認証を有効にするとかえって脆弱になることも(ソーシャルハッキング) (スコア:4, 参考になる)
社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。
しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、
Re:Google アカウント等は2段階認証を有効にするとかえって脆弱になることも(ソーシャルハッキ (スコア:1)
> Google アカウントのIDは公開情報(メールアドレス)なので入手可。
恋人や結婚相手に対して隠したいことがあるならGoogleアカウント自体を分けますので
GoogleアカウントのIDは不明のほうが普通ですよ
メールアドレスは公開情報だと言い張るなら世の中のすべてのセレブのメールアドレスをあなたがここに書いてみてください
公開されてるんでしょ?よろしくお願いしますね