アカウント名:
パスワード:
SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?どこかで勘違いしてそうなのでどなたか教えてください
Twitterなら「パスワードを忘れた」ことにすれば、電子メールでパスワードリセットができます。(電子メールも大抵はSMSか何かでリセットできます)
厳密には、二要素認証では「両方の認証に合格した場合にのみ許可し、一方だけの合格では許可しないし、一方に合格したことすらログイン者に教えてはならない」のですが、パスワードを忘れる人が多数居る以上、どうしようもないんでしょうね・・
タレコミにある「共通線信号No.7(SS7)の脆弱性」とやらは、SMSの内容を盗み見れる問題らしく、例えば、ワンタイムパスワードをSMSを経由して使用する場合に利用できるそうです。 実際に、その脆弱性を使用して認証コードを盗み見た例はあるのですが、
(2要素認証を有効にすると、別端末からログインするときに一時的なパスワードでのログインが必要+パスワードはSMSで送られるようですが関係ある?)
そのせいじゃないでしょうか。
ログイン認証を使用する方法 [twitter.com]
一時的なパスワード twitter.comからログイン認証をオンにした後、それ以外の端末やアプリケーションからTwitterにログインするときにパスワード入力が要求された場合は、一時的なパスワードの利用が求められます。通常のユーザー名とパスワードの組み合わせを使ってログインすることはできません。たとえば、twitter.comのアカウント設定でログイン認証をオンにした後に
ログイン認証を使用する方法 [twitter.com] の「twitter.comで一時的なパスワードを生成する方法」の部分も読んでみたところ、
仮パスワードでログインしなければならない場合、仮パスワードがスマートフォン(またはタブレット)にショートメールで届きます。または、自分で一時的なパスワードを生成することもできます。
5. 他の端末やアプリケーションでログイン画面が表示されたら、ユーザー名と生成された一時的なパスワードを入力します。
注記: 一時的なパスワードの有効期間は1時間です。Twitter for iOSアプリ、Twitter for Androidアプリ、mobile.twitter.comからTwitterにログインする場合は、一時的なパスワードは必要ありません。
とあるので、「普通のパスワード」+「6桁のログインコード」という2要素認証プロセスに対応していないレガシーアプリへの対応のための機能で、やはり「ユーザー名」+「生成された一時的なパスワード」のみでログインできてしまうようです。
「仮パスワード」は、SMS で送られるようなので、「共通線信号No.7(SS7)の脆弱性」などで SMS を盗み見ることが可能ならばアカウントの不正利用ができてしまいます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
2要素認証 (スコア:1)
SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?
どこかで勘違いしてそうなのでどなたか教えてください
Re: (スコア:0)
Twitterなら「パスワードを忘れた」ことにすれば、電子メールでパスワードリセットができます。
(電子メールも大抵はSMSか何かでリセットできます)
厳密には、二要素認証では「両方の認証に合格した場合にのみ許可し、一方だけの合格では許可しないし、
一方に合格したことすらログイン者に教えてはならない」のですが、パスワードを忘れる人が多数居る以上、
どうしようもないんでしょうね・・
Re: (スコア:0)
タレコミにある「共通線信号No.7(SS7)の脆弱性」とやらは、
SMSの内容を盗み見れる問題らしく、例えば、ワンタイムパスワードをSMSを経由して使用する場合に
利用できるそうです。
実際に、その脆弱性を使用して認証コードを盗み見た例はあるのですが、
Re: (スコア:2)
そのせいじゃないでしょうか。
ログイン認証を使用する方法 [twitter.com]
レガシーアプリへの対応で脆弱になってる模様 (スコア:4, 参考になる)
ログイン認証を使用する方法 [twitter.com] の「twitter.comで一時的なパスワードを生成する方法」の部分も読んでみたところ、
とあるので、「普通のパスワード」+「6桁のログインコード」という2要素認証プロセスに対応していないレガシーアプリへの対応のための機能で、やはり「ユーザー名」+「生成された一時的なパスワード」のみでログインできてしまうようです。
「仮パスワード」は、SMS で送られるようなので、「共通線信号No.7(SS7)の脆弱性」などで SMS を盗み見ることが可能ならばアカウントの不正利用ができてしまいます。