by
Anonymous Coward
on 2020年02月04日 17時29分
(#3755987)
> SMS届いた時点で強制的に認証画面に飛んで入力するわけじゃないでしょうし。
ZDNetの記事には > Apps and browsers will automatically extract the OTP code and complete the 2FA login operation. ってあるから、その通りなら端末が受信した時点で自動的に抽出してログインさせちゃうって事なんじゃないかと。
自動化しやすい=悪用者も自動化しやすい (スコア:2, 興味深い)
ので反対ですね。
むしろそこでワンクッション置かないと。
Re: (スコア:0)
具体的にどんな悪用が考えられます?
悪用者がログインして、悪用者にSMSが行った時点でアウトな気が。
通常ユーザーが認証コードを受け取っても無視すればいいし、SMS届いた時点で強制的に認証画面に飛んで入力するわけじゃないでしょうし。
Re:自動化しやすい=悪用者も自動化しやすい (スコア:0)
ZDNetの記事には
> Apps and browsers will automatically extract the OTP code and complete the 2FA login operation.
ってあるから、その通りなら端末が受信した時点で自動的に抽出してログインさせちゃうって事なんじゃないかと。
Re:自動化しやすい=悪用者も自動化しやすい (スコア:2)
アプリやブラウザが該当のURLを認識して今まさにそこで認証中だったら、だと思うけどなさすがに(根拠なし
こないだこんな感じに動いた(SMS中のコードが勝手にブラウザに入った)ような気がしたけど気のせいだったんかな
Googleの何か+Chromeだともうやってるのかも
Re: (スコア:0)
androidの一部アプリでのSMS認証がそんな感じの動きしますね。
そのためだけに使うと言われてもアプリにSMS権限ほいほい渡したく無いのですが
Re:自動化しやすい=悪用者も自動化しやすい (スコア:1)
アプリにSMS権限ほいほい渡すのは問題だということで今年になって審査が厳格化されてます。
https://www.eset.com/jp/blog/welivesecurity/malware-google-permissions... [eset.com]
このような方法に代わり、SMS認証フォーマットが標準化されれば、SMSクライアントアプリからインテントを通じて他アプリに認証コードを引き渡すことで、安全かつ自動でのSMS認証が出来るはずです。
Re: (スコア:0)
他アプリ用の認証情報インテントを盗み見るとか出てきそうかな?
メッセージ中のUrlは直接認証ページのものではないほうが良さそうやね
と言うかurlじゃなくてそのソルト付きハッシュとかじゃないと安心できないか?
頭のいい人が考えてくれるやろうけども
Re: (スコア:0)
認証するドメインにapple-app-site-associationだのmanifest.jonだのファイル置いておいて、そこに記載されているIdentifierのアプリのみ見れるようにすれば読み取れないですね。というのを既にパスワードの自動入力でやっているので。
Re: (スコア:0)
iOSでもinput要素にautocomplete="one-time-code"を付けておけば自動で入力されるようです。
https://www.google.com/search?q=autocomplete%3D%22one-time-code%22&... [google.com]
Re: (スコア:0)
アプリまたはブラウザでコード入力画面になってることが前提でしょうね。いきなりコードが送られてきた場合にまでログインさせるんだったら2要素の意味ないし。
現状のiOSのSafariでもログインしてコード入力画面で待ってる時にOTPコード飛んできたら、1タップで入力するための表示が出てきますね。フォーマットが違うとこれを出せない場合があるから統一しない?ってことじゃないかと。
Re: (スコア:0)
でも考えてみたら、全世界的に統一されて居れば一斉に行うだけで一定数は引っかかる人間が出て来る訳だよな。
個人の印象だと「そんなの偶にしか」だけど、母数がデカいとシャレにならんかも。
Re: (スコア:0)
全世界的に統一されて居なければ更に多くの人間が引っかかり続けてしまうけどいいの?
Re: (スコア:0)
いいよ。俺が許可する
Re: (スコア:0)
神奈川県警さんコイツです!