アカウント名:
パスワード:
ある程度IT知識がある人向けのスラドでも「二要素認証未対応も一因?」なんて書いちゃうんだね。
ネット銀行の2段階認証を突破 不正送金の巧妙な手口https://style.nikkei.com/article/DGXMZO56375530U0A300C2000000/ [nikkei.com]
SMSでワンタイムコードを送るタイプであっても、時刻ベースのワンタイムパスワード(TOTP)であっても、フィッシング対策にはなりません。何故ならば、フィッシング詐欺サイトが通信をプロキシして、正規サイトとの間を中継すれば回避できるからです。
「二段階認証しているから大丈夫だ」とドメイン名の確認を怠ると、フィッシング詐欺にかえって騙されやすくなります。フィッシング詐欺対策に必要なのは、とにかくドメイン名の確認です。
なお、楽天は、
https://www.rakuten.co.jp/ [rakuten.co.jp] からログインするときは https://grp01.id.rakuten.co.jp/ [rakuten.co.jp]https://www.rebates.jp/ [rebates.jp] からログインするときは https://login.account.rakuten.com/ [rakuten.com]
と、共通のIDとパスワードでログインするドメイン名が複数あって、大変よろしくありません。
パスワードがいっぱいあるとパスワードにパスワードとか1234なんかを指定されるのでよくありませんよ。
それは本人の問題でしょう。多かろうが少なかろうが、全て別のパスワードを設定するべきなんだから。
住所記入があるところだけでも引っ越しすると登録情報の変更だけで半日仕事になる……
情報が古いですね。
二要素認証のうち、SMSやTOTPを用いたものは確かにフィッシングに対し脆弱ですが、FIDO U2FやWebAuthnと呼ばれる認証方法はドメイン名が変わると認証されない仕組みになっているので、フィッシングをほぼ確実に防止することができます。
特にWebAuthnではWebAuthn単体で二要素認証が完結し、パスワードそのものを廃止することも可能です。例えば、USB接続のセキュリティーキー + PINで所有認証 + 知識認証、パソコン内のTPMチップと指紋で所有認証 + 生体認証といった風にWebAuthnのみで二要素がそろう仕組みになっています。
このようにフィッシングをほぼ根絶
ちなみに、YahooJAPANはWebAuthnに対応してますね。2018年10月にスマホでの生態認証ログイン対応を始めて、順次利用可能範囲を広げていき、2021年12月からPCブラウザでも対応しました。 [yahoo.co.jp]
ただ、Yahooが悪いわけじゃ無いけど、Windows Hello のPIN認証では数字四桁の知識認証だけ使えてしまうというのは、これで本当にいいのかちょっと疑問に思ってしまう。、
YahooJAPANについてはWebAuthn対応自体はとても良いのですが、SMS経由のコードだけでログインというアレな認証方式をゴリ押ししているので複雑な気持ちですね。使いまわしザルパスワードよりはマシという判断なのでしょうが…
Windows HelloについてはPINによる知識認証の裏にTPMを使った所有認証が動いているので見た目よりも遥かに強固ですよ。TPMのないパソコンではTPMよりも脆弱な方式にフォールバックするようですが、そのようなパソコンはWindows 11対応の名のもとに消え去ったはずです。(メーカー製PCに関してはWindows 10プリインストールモデルの時点でTPM必須になっていたので、TPMが使用できるパソコンは皆さんが思っているより多いです)
何度も言われてるけど日本在住の一般人(逸般人除く)がハードウェアキーを手に入れる方法がハードル高すぎ。・GoogleStore→マイナーな上に配送がDHLなので海外からの荷物受け取りの経験ないと詰む・Amazon→怪しい並行輸入業者が横行してて一般人には判別困難・Yubico→英語、米ドル建て、DHL
国内の量販店(ヤマダとかケーズデンキとか)で売ってるとか、クロネコヤマトやゆうパックで配送するレベルにならないと一般人には厳しいのが現実。
#もう政府で全国民分買って配るか
#4270109にスマホやPC単体で認証できるのでハードウェアキーは必須ではない旨書いたんですけど…「ちなみに~」以降の部分です。
そのスマホもつい最近まで非対応機種を売ってる国内メーカーがある始末ですから。
#結局そのメーカーが一般向けスマホから撤退したのはセキュリティ的には良かったのかもね。
フィッシングをほぼ確実に防止することができます。
ちなみにWebAuthnを利用するにあたってハードウェアキーを購入する必要はありません。(個人的にはハードウェアキーが好きですが)
おっしゃることは、ユーザーの使用するデバイスが1台だけで、スマホとPCの併用も無く、機種変更も無いという理想条件ならば正しく、確かにその条件ならばフィッシングは防げます。
しかし、現実はそうじゃないので、ハードウェアキー無しで、フィッシングを防ぐなど不可能です。(ハードウェアキーにWebAuthnのキーを入れて、別端末でログインするときには差し替えるというのであればフィッシングは防げますが)
https://gihyo.jp/dev/column/newyear/2019/webauthn?page=2 [gihyo.jp] >
ハードウェアキーを使用しない場合、WebAuthnが端末依存になるのはその通りですが、大抵のサイトは複数のデバイスを認証用に登録可能なのでログインに使用する端末すべてを登録すれば済みますね。
デバイスの登録時にはTOTPなどの脆弱な方法を使用する必要がありますが、デバイスを登録する頻度はサイトにログインする頻度よりかなり少ないことが想定されるので、その場合でもフィッシングのリスクを大幅に削減できます。
gihyo.jpのリンク先で提示されているフィッシングのシナリオについても、根本的な問題はサイト側が「現実的な実装」という名のもとにWebAu
gihyo.jpのリンク先で提示されているフィッシングのシナリオについても、根本的な問題はサイト側が「現実的な実装」という名のもとにWebAuthnの仕組みに反した脆弱な実装を行っているのが問題であり、サイト側が故意に穴をあけているのにそれをふさげというのは無茶な話です。
WebAuthnの標準的な実装がどんなものかはわからないのですが、もしその実装が困難で「現実的な実装」しか実際にはできないのであれば、、WebAuthの標準実装は誰も使ってくれずに、結局フィッシングは防げないような気が。
Appleが今年のWWDCで発表したPasskeysってのが、秘密鍵をiCloudキーチェーンに保管するって仕組みじゃないかな。
認証できるのが1台のデバイスだけというのは、確かにより安全なんだけど、そのデバイスに依存すると、そのデバイスが壊れたときや交換するときに面倒なんだよね。全部のサービスで新しいデバイスを使って設定をやり直さなくちゃいけない。安全でも面倒すぎると結局普及しないからね。
2段階認証のワンタイムパスワード生成器が壊れたらリカバリ方法がないという恐ろしいサービスもあるんだよね。(もちろんすぐ2段階認証を無効にした)
これ(WebAuthn)によるフィッシング阻止効果を「二段階認証」のおかげと言うのは違和感がありますね。結局フィッシングの原因はユーザーなり認証装置なりが、非正規ドメインに対して認証を行ってしまうことに由来するので。二段階認証の本来の目的は、一段階目と二段階目の認証情報を別にしておくことで、片方の漏洩に大して堅牢にする、ということじゃないでしょうか。
(私は自分のパスワードが漏洩する可能性と二段階認証情報が漏洩する確率は完全に同じだと思っているので、特にメリットを見いだしていません。)
別にパスワードオンリーだったとしても、例えばブラウザのパスワードマネージャーに覚えさせて、ドメイン名が不一致の場合はオートコンプリートされないのとフィッシングに対する安全性は何が違うんでしょうか?
もちろん実装含めて結果的にフィッシングは抑制されるんでしょうが、それは別に「二段階」になったからではないですよね。
二要素認証はフィッシングに無力という主張に対してフィッシング対策が可能な手法もあるという話なので、そもそも二段階認証の話ではありませんし、WebAuthnだけが二要素認証というわけでもないので、WebAuthnのおかげと二要素認証のおかげは同義ではなく、二要素や二段階のおかげだという主張は含まれていませんよ。
#4270181ですが、ちゃんと勉強してみました。WebAuthnの本質は、フィッシング云々ではなく(もちろんこれも実装次第で一般人には有用となるが)、公開鍵暗号を導入していることですね。今までちゃんとしたパスワード管理(高強度で、使い回さない)をしていた人でも、原理的に秘密鍵を相手方に渡さなくて済むので、ある種の攻撃に大して強度が上がります。とはいえ伝送経路(ブラウザ脆弱性等含む)の盗聴による耐性はTOTPと同じ(結局、一度は使われてしまう)ですね。一番有用そうなのは、相手方サーバーからの秘密鍵漏洩(ハッシュ化してないパスワード、もしくはTOTP秘密鍵)による攻撃者の継続的認証を防げることでしょうか。
やはりフィッシング云々はその本質では無いと思います。
二要素認証と二段階認証は別物だら。
なんでもいいけど、もうログインのたびに電話かけてくるのは勘弁して。電話ってグラハム・ベルが発明したものでしょ?20世紀に逆戻りって技術者として恥ずかしくないの。
どうでもいいけど、ベルが電話を発明したのは19世紀ですよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
2要素認証はフィッシングに効果無いんですが (スコア:4, 興味深い)
ある程度IT知識がある人向けのスラドでも「二要素認証未対応も一因?」なんて書いちゃうんだね。
ネット銀行の2段階認証を突破 不正送金の巧妙な手口
https://style.nikkei.com/article/DGXMZO56375530U0A300C2000000/ [nikkei.com]
SMSでワンタイムコードを送るタイプであっても、時刻ベースのワンタイムパスワード(TOTP)であっても、フィッシング対策にはなりません。
何故ならば、フィッシング詐欺サイトが通信をプロキシして、正規サイトとの間を中継すれば回避できるからです。
「二段階認証しているから大丈夫だ」とドメイン名の確認を怠ると、フィッシング詐欺にかえって騙されやすくなります。
フィッシング詐欺対策に必要なのは、とにかくドメイン名の確認です。
なお、楽天は、
https://www.rakuten.co.jp/ [rakuten.co.jp] からログインするときは https://grp01.id.rakuten.co.jp/ [rakuten.co.jp]
https://www.rebates.jp/ [rebates.jp] からログインするときは https://login.account.rakuten.com/ [rakuten.com]
と、共通のIDとパスワードでログインするドメイン名が複数あって、大変よろしくありません。
Re: (スコア:0)
パスワードがいっぱいあるとパスワードにパスワードとか1234なんかを指定されるのでよくありませんよ。
Re: (スコア:0)
それは本人の問題でしょう。
多かろうが少なかろうが、全て別のパスワードを設定するべきなんだから。
住所記入があるところだけでも引っ越しすると登録情報の変更だけで半日仕事になる……
複数ある認証手段を一括りにするなかれ (スコア:0)
情報が古いですね。
二要素認証のうち、SMSやTOTPを用いたものは確かにフィッシングに対し脆弱ですが、FIDO U2FやWebAuthnと呼ばれる認証方法はドメイン名が変わると認証されない仕組みになっているので、フィッシングをほぼ確実に防止することができます。
特にWebAuthnではWebAuthn単体で二要素認証が完結し、パスワードそのものを廃止することも可能です。
例えば、USB接続のセキュリティーキー + PINで所有認証 + 知識認証、パソコン内のTPMチップと指紋で所有認証 + 生体認証といった風にWebAuthnのみで二要素がそろう仕組みになっています。
このようにフィッシングをほぼ根絶
Re:複数ある認証手段を一括りにするなかれ (スコア:1)
ちなみに、YahooJAPANはWebAuthnに対応してますね。2018年10月にスマホでの生態認証ログイン対応を始めて、順次利用可能範囲を広げていき、2021年12月からPCブラウザでも対応しました。 [yahoo.co.jp]
ただ、Yahooが悪いわけじゃ無いけど、
Windows Hello のPIN認証では数字四桁の知識認証だけ使えてしまうというのは、これで本当にいいのかちょっと疑問に思ってしまう。
、
Re:複数ある認証手段を一括りにするなかれ (スコア:1)
YahooJAPANについてはWebAuthn対応自体はとても良いのですが、SMS経由のコードだけでログインというアレな認証方式をゴリ押ししているので複雑な気持ちですね。使いまわしザルパスワードよりはマシという判断なのでしょうが…
Windows HelloについてはPINによる知識認証の裏にTPMを使った所有認証が動いているので見た目よりも遥かに強固ですよ。TPMのないパソコンではTPMよりも脆弱な方式にフォールバックするようですが、そのようなパソコンはWindows 11対応の名のもとに消え去ったはずです。
(メーカー製PCに関してはWindows 10プリインストールモデルの時点でTPM必須になっていたので、TPMが使用できるパソコンは皆さんが思っているより多いです)
Re: (スコア:0)
何度も言われてるけど日本在住の一般人(逸般人除く)がハードウェアキーを手に入れる方法がハードル高すぎ。
・GoogleStore→マイナーな上に配送がDHLなので海外からの荷物受け取りの経験ないと詰む
・Amazon→怪しい並行輸入業者が横行してて一般人には判別困難
・Yubico→英語、米ドル建て、DHL
国内の量販店(ヤマダとかケーズデンキとか)で売ってるとか、クロネコヤマトやゆうパックで配送するレベルにならないと一般人には厳しいのが現実。
#もう政府で全国民分買って配るか
Re: (スコア:0)
#4270109にスマホやPC単体で認証できるのでハードウェアキーは必須ではない旨書いたんですけど…
「ちなみに~」以降の部分です。
Re: (スコア:0)
そのスマホもつい最近まで非対応機種を売ってる国内メーカーがある始末ですから。
#結局そのメーカーが一般向けスマホから撤退したのはセキュリティ的には良かったのかもね。
WebAuthnでフィッシングを防げるというのは「非現実的」 (スコア:0)
フィッシングをほぼ確実に防止することができます。
ちなみにWebAuthnを利用するにあたってハードウェアキーを購入する必要はありません。(個人的にはハードウェアキーが好きですが)
おっしゃることは、ユーザーの使用するデバイスが1台だけで、スマホとPCの併用も無く、機種変更も無いという理想条件ならば正しく、確かにその条件ならばフィッシングは防げます。
しかし、現実はそうじゃないので、ハードウェアキー無しで、フィッシングを防ぐなど不可能です。
(ハードウェアキーにWebAuthnのキーを入れて、別端末でログインするときには差し替えるというのであればフィッシングは防げますが)
https://gihyo.jp/dev/column/newyear/2019/webauthn?page=2 [gihyo.jp]
>
Re: (スコア:0)
ハードウェアキーを使用しない場合、WebAuthnが端末依存になるのはその通りですが、大抵のサイトは複数のデバイスを認証用に登録可能なのでログインに使用する端末すべてを登録すれば済みますね。
デバイスの登録時にはTOTPなどの脆弱な方法を使用する必要がありますが、デバイスを登録する頻度はサイトにログインする頻度よりかなり少ないことが想定されるので、その場合でもフィッシングのリスクを大幅に削減できます。
gihyo.jpのリンク先で提示されているフィッシングのシナリオについても、根本的な問題はサイト側が「現実的な実装」という名のもとにWebAu
Re: (スコア:0)
gihyo.jpのリンク先で提示されているフィッシングのシナリオについても、根本的な問題はサイト側が「現実的な実装」という名のもとにWebAuthnの仕組みに反した脆弱な実装を行っているのが問題であり、サイト側が故意に穴をあけているのにそれをふさげというのは無茶な話です。
WebAuthnの標準的な実装がどんなものかはわからないのですが、もしその実装が困難で「現実的な実装」しか実際にはできないのであれば、、WebAuthの標準実装は誰も使ってくれずに、結局フィッシングは防げないような気が。
Re: (スコア:0)
Appleが今年のWWDCで発表したPasskeysってのが、秘密鍵をiCloudキーチェーンに保管するって仕組みじゃないかな。
認証できるのが1台のデバイスだけというのは、確かにより安全なんだけど、
そのデバイスに依存すると、そのデバイスが壊れたときや交換するときに面倒なんだよね。
全部のサービスで新しいデバイスを使って設定をやり直さなくちゃいけない。
安全でも面倒すぎると結局普及しないからね。
2段階認証のワンタイムパスワード生成器が壊れたらリカバリ方法がないという恐ろしいサービスもあるんだよね。
(もちろんすぐ2段階認証を無効にした)
Re: (スコア:0)
これ(WebAuthn)によるフィッシング阻止効果を「二段階認証」のおかげと言うのは違和感がありますね。
結局フィッシングの原因はユーザーなり認証装置なりが、非正規ドメインに対して認証を行ってしまうことに由来するので。
二段階認証の本来の目的は、一段階目と二段階目の認証情報を別にしておくことで、片方の漏洩に大して堅牢にする、ということじゃないでしょうか。
(私は自分のパスワードが漏洩する可能性と二段階認証情報が漏洩する確率は完全に同じだと思っているので、特にメリットを見いだしていません。)
別にパスワードオンリーだったとしても、例えばブラウザのパスワードマネージャーに覚えさせて、
ドメイン名が不一致の場合はオートコンプリートされないのとフィッシングに対する安全性は何が違うんでしょうか?
もちろん実装含めて結果的にフィッシングは抑制されるんでしょうが、それは別に「二段階」になったからではないですよね。
Re: (スコア:0)
二要素認証はフィッシングに無力という主張に対してフィッシング対策が可能な手法もあるという話なので、そもそも二段階認証の話ではありませんし、WebAuthnだけが二要素認証というわけでもないので、WebAuthnのおかげと二要素認証のおかげは同義ではなく、二要素や二段階のおかげだという主張は含まれていませんよ。
Re: (スコア:0)
#4270181ですが、ちゃんと勉強してみました。
WebAuthnの本質は、フィッシング云々ではなく(もちろんこれも実装次第で一般人には有用となるが)、公開鍵暗号を導入していることですね。
今までちゃんとしたパスワード管理(高強度で、使い回さない)をしていた
人でも、原理的に秘密鍵を相手方に渡さなくて済むので、ある種の攻撃に大して強度が上がります。
とはいえ伝送経路(ブラウザ脆弱性等含む)の盗聴による耐性はTOTPと同じ(結局、一度は使われてしまう)ですね。
一番有用そうなのは、相手方サーバーからの秘密鍵漏洩(ハッシュ化してないパスワード、もしくはTOTP秘密鍵)による攻撃者の継続的認証を防げることでしょうか。
やはりフィッシング云々はその本質では無いと思います。
Re: (スコア:0)
二要素認証と二段階認証は別物だら。
Re: (スコア:0)
なんでもいいけど、もうログインのたびに電話かけてくるのは勘弁して。電話ってグラハム・ベルが発明したものでしょ?20世紀に逆戻りって技術者として恥ずかしくないの。
Re: (スコア:0)
どうでもいいけど、ベルが電話を発明したのは19世紀ですよ。