アカウント名:
パスワード:
SIMスワップやポートアウトが攻撃として成り立つのは、そもそも電話番号に紐付けただけのおよそ認証と呼べないようなものををありがたがって、本人確認の代わりに使いまくった結果だ。
SMSによる認証はそれを持つ本人以外突破できない。という勘違いがこういう攻撃を作り出す。
「SMSによる認証」みたいなものを、さっさと止めてしまえばSIMスワップやポートアウトも必要なくなり自ずと消える。
だいたいにして「ひみつの質問」もそうだったが、誰がどう考えてもパスワード認証より簡単に突破できそうなものを代替品として使うな。
セキュリティ対策は「対策を求める組織」がある以上は「やってる感」を出すことも重要になってしまってる。残念なことに。
先進的なIT企業では逆効果なセキュリティは外す方向に動いているものの、監査法人とか時代遅れな価値観に染まりきった人材が権限追ってる組織が「指摘」する以上はその意見を無視できない事情も困った話で。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
くだらない (スコア:0)
SIMスワップやポートアウトが攻撃として成り立つのは、そもそも電話番号に紐付けただけのおよそ認証と呼べないようなものををありがたがって、本人確認の代わりに使いまくった結果だ。
SMSによる認証はそれを持つ本人以外突破できない。という勘違いがこういう攻撃を作り出す。
「SMSによる認証」みたいなものを、さっさと止めてしまえばSIMスワップやポートアウトも必要なくなり自ずと消える。
だいたいにして「ひみつの質問」もそうだったが、誰がどう考えてもパスワード認証より簡単に突破できそうなものを代替品として使うな。
Re: (スコア:0)
セキュリティ対策は「対策を求める組織」がある以上は「やってる感」を出すことも重要になってしまってる。
残念なことに。
先進的なIT企業では逆効果なセキュリティは外す方向に動いているものの、監査法人とか時代遅れな価値観に
染まりきった人材が権限追ってる組織が「指摘」する以上はその意見を無視できない事情も困った話で。