アカウント名:
パスワード:
社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。
しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、
Googleにばかり矛先向けようとしてるけど、2要素認証のカギである電話まで盗んでる前提の時点で極論すぎその状態で守れないケースがあるのはむしろ自然であって批判するところではない典型的な「キチガイセキュリティ」に成り下がってるよ
新しい仕組みを提案するなら、アンチGoogle思考を捨ててもっと広い範囲に訴求したら?
ほんとそれ。物理的にデバイスをアクセスされてる時点でアウトでしょ。「PCに物理アクセスされたら終わり」「銀行のワンタイムパスワード生成器を盗まれたら終わり」と言ってるのと何も変わらないよねえ。セキュリティネタは脅すだけでホイホイとプラスモデはいるんでマジ釣り堀だわ。
物理的にデバイスをアクセスされてる時点でアウトでしょ。 「PCに物理アクセスされたら終わり」「銀行のワンタイムパスワード生成器を盗まれたら終わり」と言ってるのと何も変わらないよねえ。
仮に、銀行のワンタイムパスワード生成器を盗まれたとしても、IDとパスワードが盗まれない限りアカウントへの不正アクセスはできません。「パスワード」と「物理トークン」の2要素で認証しているため、そのうちの1つだけが盗まれても安全が確保されるわけです。物理トークンだけで、パスワードの再登録が可能な銀行は存在しないのでは?
更に、みずほ銀行やゆうちょ銀行など、多くの銀行では普段使っている環境(IPアドレスやCookie)以外からログインしようとすると追加で秘密の質問や合言葉に回答する必要があるという「3要素認証」となっています(秘密の質問ではパスワードリセットはできません)。「ワンタイムパスワード生成器を盗まれたら終わり」な銀行は存在しないと思います。
一方、Google アカウントを含む多くのオンラインサービスの2段階認証は、「物理トークン」のみでパスワードの再登録が可能なことから事実上「1要素認証」になっているのが問題であり、場合によっては2段階認証の設定によりセキュリティが低下することが問題だと指摘しているんです。
「PCに物理アクセス」については、BitLockerなどでドライブ全体を暗号化することで対策可能です。
# なお、オンラインバンキングのセキュリティについては、トランザクション署名を導入しているずほ銀行などの金融機関を除き、MITBによる振込先・金額の改ざんを防げないのが大きな問題だと思います。
それは「端末にセキュリティーロックをかけてない」という別の問題を無視してるんじゃない?
一般的なAndroid端末はセキュリティーロックがかかった状態ではGoogleアカウントだけでは解除できないし、セキュリティーロックがかかっていなければアカウント乗っ取り云々以前にGmail等にダイレクトにアクセスできるもん。
2段階認証って「通信の途中経路や、端末に入ったマルウェアへの対策」なので、Googleアカウントが判ってる状態でのデバイス盗難みたいなケースへの対策は、そもそも2段階認証をする目的に入ってないと思うけど。
比較的新しめの Android 端末であれば、Google アカウントにログインできれば、Webから Android デバイス マネージャー [google.com] にアクセスすることで、端末のセキュリティロックを上書き(別のパスワードやPINに変更)できますよ。
そのため、正しい使い方としては、端末のロック解除パスワードを忘れた場合でも、Google アカウントにログインできればロック解除が可能です。悪用する立場からすれば、Google アカウントにログインさえできれば、端末のロックを解除できてしまいます。
また、ロックがかかっていても、電話の着信は可能なので、自動音声通話により OTP を受け取ることができます。
Android の「リモートでのロックとデータ消去を許可する」がオンになっている必要がありますが、
Nexus5、Nexus6、Nexus7(2013) Wi-Fiモデル、Nexus7(2013) LTEモデル、Nexus9で確認したところ全てデフォルトでオンになっていました。
とのことです(Androidのロック画面解除パターン/パスワード/PINを忘れた時の初期化を伴わない対処法。 [androidlover.net])。
だから前提が間違ってるっつーの。
2要素認証で防ぐのはマルウェアに感染して、端末にキーロガー等を仕込まれたり、ブラウザの画面に干渉することで不正操作されるようなネットワーク越しの攻撃なので、物理的な端末の盗難への対策として考えることが間違いなの。ましてや「Googleアカウントがロックを解除しなくてもわかってる端末を狙って盗まれてる」って時点で、そんな状況の対策に2認証要素とか考えるのがお話にならない。
自宅にセコム導入しようがドアの鍵を頑丈にしようが家の外からの放火は防げないし、どれだけ暗証番号や錠前が高度な金庫だとしても金庫ごと盗まれたらアウトでしょ。それと同じ。2要素認証そのものが「デバイスの盗難」対策でないのだから、そこでどれだけ「2要素認証がデバイスの盗難には無力」と叫んだところで意味はない。
デバイスの盗難対策は物理的方法(ワイヤーで固定するとか)や生体認証でのアクセス抑止、あるいは暗号化に別途キーを使う等、別の対策をとるべきであって、今回の問題と一緒くたにするのが間違ってる。
「2要素認証がデバイスの盗難には無力」ではなく「2要素認証がデバイスの盗難時のリスクを上昇させる」という話であり「2要素認証のはずがデバイスの所持という1要素に還元できてしまう」という話ですよ?
デバイス盗まれるって時点で相当な問題が発生しているのは確かだけど、認証要素数は確かに減っているし、リスクとなりうる部分なのも間違ってない。
> どれだけ暗証番号や錠前が高度な金庫だとしても金庫ごと盗まれたらアウトでしょ。それと同じ。暗証番号を総当りで突破するのにかかる時間や回数ロックについては無視ですかそうですか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
Google アカウント等は2段階認証を有効にするとかえって脆弱になることも(ソーシャルハッキング) (スコア:4, 参考になる)
社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。
しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、
Re: (スコア:2, 興味深い)
Googleにばかり矛先向けようとしてるけど、2要素認証のカギである電話まで盗んでる前提の時点で極論すぎ
その状態で守れないケースがあるのはむしろ自然であって批判するところではない
典型的な「キチガイセキュリティ」に成り下がってるよ
新しい仕組みを提案するなら、アンチGoogle思考を捨ててもっと広い範囲に訴求したら?
Re: (スコア:0)
ほんとそれ。物理的にデバイスをアクセスされてる時点でアウトでしょ。
「PCに物理アクセスされたら終わり」「銀行のワンタイムパスワード生成器を盗まれたら終わり」と言ってるのと何も変わらないよねえ。
セキュリティネタは脅すだけでホイホイとプラスモデはいるんでマジ釣り堀だわ。
「2要素認証」を「1要素」だけで突破できるのは問題 (スコア:2)
仮に、銀行のワンタイムパスワード生成器を盗まれたとしても、IDとパスワードが盗まれない限りアカウントへの不正アクセスはできません。「パスワード」と「物理トークン」の2要素で認証しているため、そのうちの1つだけが盗まれても安全が確保されるわけです。物理トークンだけで、パスワードの再登録が可能な銀行は存在しないのでは?
更に、みずほ銀行やゆうちょ銀行など、多くの銀行では普段使っている環境(IPアドレスやCookie)以外からログインしようとすると追加で秘密の質問や合言葉に回答する必要があるという「3要素認証」となっています(秘密の質問ではパスワードリセットはできません)。「ワンタイムパスワード生成器を盗まれたら終わり」な銀行は存在しないと思います。
一方、Google アカウントを含む多くのオンラインサービスの2段階認証は、「物理トークン」のみでパスワードの再登録が可能なことから事実上「1要素認証」になっているのが問題であり、場合によっては2段階認証の設定によりセキュリティが低下することが問題だと指摘しているんです。
「PCに物理アクセス」については、BitLockerなどでドライブ全体を暗号化することで対策可能です。
# なお、オンラインバンキングのセキュリティについては、トランザクション署名を導入しているずほ銀行などの金融機関を除き、MITBによる振込先・金額の改ざんを防げないのが大きな問題だと思います。
Re:「2要素認証」を「1要素」だけで突破できるのは問題 (スコア:1)
それは「端末にセキュリティーロックをかけてない」という別の問題を無視してるんじゃない?
一般的なAndroid端末はセキュリティーロックがかかった状態ではGoogleアカウントだけでは解除できないし、セキュリティーロックがかかっていなければアカウント乗っ取り云々以前にGmail等にダイレクトにアクセスできるもん。
2段階認証って「通信の途中経路や、端末に入ったマルウェアへの対策」なので、Googleアカウントが判ってる状態でのデバイス盗難みたいなケースへの対策は、そもそも2段階認証をする目的に入ってないと思うけど。
Re:「2要素認証」を「1要素」だけで突破できるのは問題 (スコア:2)
比較的新しめの Android 端末であれば、Google アカウントにログインできれば、Webから Android デバイス マネージャー [google.com] にアクセスすることで、端末のセキュリティロックを上書き(別のパスワードやPINに変更)できますよ。
そのため、正しい使い方としては、端末のロック解除パスワードを忘れた場合でも、Google アカウントにログインできればロック解除が可能です。悪用する立場からすれば、Google アカウントにログインさえできれば、端末のロックを解除できてしまいます。
また、ロックがかかっていても、電話の着信は可能なので、自動音声通話により OTP を受け取ることができます。
Android の「リモートでのロックとデータ消去を許可する」がオンになっている必要がありますが、
とのことです(Androidのロック画面解除パターン/パスワード/PINを忘れた時の初期化を伴わない対処法。 [androidlover.net])。
Re: (スコア:0)
だから前提が間違ってるっつーの。
2要素認証で防ぐのはマルウェアに感染して、端末にキーロガー等を仕込まれたり、ブラウザの画面に干渉することで不正操作されるようなネットワーク越しの攻撃なので、物理的な端末の盗難への対策として考えることが間違いなの。
ましてや「Googleアカウントがロックを解除しなくてもわかってる端末を狙って盗まれてる」って時点で、そんな状況の対策に2認証要素とか考えるのがお話にならない。
自宅にセコム導入しようがドアの鍵を頑丈にしようが家の外からの放火は防げないし、どれだけ暗証番号や錠前が高度な金庫だとしても金庫ごと盗まれたらアウトでしょ。それと同じ。
2要素認証そのものが「デバイスの盗難」対策でないのだから、そこでどれだけ「2要素認証がデバイスの盗難には無力」と叫んだところで意味はない。
デバイスの盗難対策は物理的方法(ワイヤーで固定するとか)や生体認証でのアクセス抑止、あるいは暗号化に別途キーを使う等、別の対策をとるべきであって、今回の問題と一緒くたにするのが間違ってる。
Re: (スコア:0)
「2要素認証がデバイスの盗難には無力」ではなく
「2要素認証がデバイスの盗難時のリスクを上昇させる」という話であり
「2要素認証のはずがデバイスの所持という1要素に還元できてしまう」という話ですよ?
デバイス盗まれるって時点で相当な問題が発生しているのは確かだけど、
認証要素数は確かに減っているし、リスクとなりうる部分なのも間違ってない。
> どれだけ暗証番号や錠前が高度な金庫だとしても金庫ごと盗まれたらアウトでしょ。それと同じ。
暗証番号を総当りで突破するのにかかる時間や回数ロックについては無視ですかそうですか。