アカウント名:
パスワード:
1.まず、パスワードクラック(アカウント乗っ取り)に関して電話番号は有効か?・・・・否。
そもそもパスワードが洩れて、アカウントにアクセスできた時点で、パスワードも登録されている電話番号も書き換えができる。乗っ取り犯の電話番号にされてしまえばおしまい。電話番号登録が書き換えされた時点で、自動送信も乗っ取り犯に届く。そういう意味で「今までのメールアドレス登録」とセキュリティレベルで変わらないのだ。では「登録された電話番号変更禁止にすればよいか?」・・・否。
それはただの欠陥システムである。電話番号はめったに変えるものではないが、変えることもある。
実際に、電話番号登録のサービスをご利用になったことがありますか?
1については、Facebookで電話番号を変更しようとすると、メールで通知が来ます。それが、自分が行った操作でない場合は、ロールバック(その操作の無効化)が出来ます。
また、通常アクセスしている端末以外からログインした場合は、必ずSMSで通知が来ます。
2については、セキュリティキーとして電話番号が使われるわけではありません。認証に使うチャネルをインターネットとは別系統のものにすることで、セキュリティを強化することが狙いです。
電話での音声入力とトーン信号入力、SMSでの認証を使う方法は、随分前から使われています。2008年ぐらいには、アクセスしてきたIPアドレスから地理情報を割り出して、アクセス時間とアクセスしてきた場所の距離の差分を見て不正なアクセスかどうかを見分ける手法と併用されています。主に、米国、ヨーロッパ、韓国を中心に、オンラインゲームの認証や、カード決済で額が大きい買い物についての本人確認として使われ始めて、今に至ります。
インターネットとは別の系統での認証を設けることで、セキュリティ強度はぐんと増します。
登録はしていません。サービス提供のために必要でないものまで提供するのは御免です。
>1については、Facebookで電話番号を変更しようとすると、メールで通知が来ます。>それが、自分が行った操作でない場合は、ロールバック(その操作の無効化)が出来ます。
だから?それなら先に乗っ取り犯は電話番号より先にメアド変更すればいいだけですね。
で、メールアドレスと電話番号両方同時に変更する人もいる(ケータイのアドレス仕様でキャリア変更など)ので、両方同時に変更できないならそれもそれで欠陥でしかない。
>認証に使うチャネルをインターネットとは別系統のものにすることで、セキュリティを強化することが狙いです。1で先に電話番号変更してれば無意味ですよね。 また、同じ地域からのアクセスに関しても。
アクセス時に毎回発呼して、着信確認までしてれば別でしょうが、登録や変更時程度の発呼では1の問題は一切解決されません。オンラインゲームはやりませんが、カード決済で、買い物時に送られてきたことなんかありませんが。
メールアドレスの変更についても、電話番号同様に確認通知がSMSで入ります。
カード決済に際して、電話確認が入るかどうかは、カード会社に依ります。
もし、この仕組に欠陥があるということを証明されたいのであれば、実際に使ってみて検証されてから、具体的な事項で指摘されては如何でしょうか?
使ってみてもいないのに、想像で論理を展開されても、何の証明にもならないと思います。
>メールアドレスの変更についても、電話番号同様に確認通知がSMSで入ります。
ですから、それだと「両方同時に変更が必要なときに問題」でしかない。そこまで書いたはずですが。
乗っ取り犯としては、メアド、電話 同時に変更すればいいだけです。どちらか片方しか変更しない前提であなたが話している時点で反論にすらならないんですよ。
本来の利用者がメアド、電話番号同時に変更したら、どうするのか。それが出来ないのならば(必ずどちらか古いものを保持してなければいけない)、本来の利用者からは欠陥でしかない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
電話番号登録が何のセキュリティ対策にもならない事を証明する。 (スコア:0)
1.まず、パスワードクラック(アカウント乗っ取り)に関して電話番号は有効か?・・・・否。
そもそもパスワードが洩れて、アカウントにアクセスできた時点で、パスワードも登録されている電話番号も書き換えができる。
乗っ取り犯の電話番号にされてしまえばおしまい。電話番号登録が書き換えされた時点で、自動送信も乗っ取り犯に届く。
そういう意味で「今までのメールアドレス登録」とセキュリティレベルで変わらないのだ。
では「登録された電話番号変更禁止にすればよいか?」・・・否。
それはただの欠陥システムである。電話番号はめったに変えるものではないが、変えることもある。
Re:電話番号登録が何のセキュリティ対策にもならない事を証明する。 (スコア:3)
実際に、電話番号登録のサービスをご利用になったことがありますか?
1については、Facebookで電話番号を変更しようとすると、メールで通知が来ます。
それが、自分が行った操作でない場合は、ロールバック(その操作の無効化)が出来ます。
また、通常アクセスしている端末以外からログインした場合は、必ずSMSで通知が来ます。
2については、セキュリティキーとして電話番号が使われるわけではありません。
認証に使うチャネルをインターネットとは別系統のものにすることで、セキュリティを強化することが狙いです。
電話での音声入力とトーン信号入力、SMSでの認証を使う方法は、随分前から使われています。
2008年ぐらいには、アクセスしてきたIPアドレスから地理情報を割り出して、アクセス時間とアクセスしてきた場所の距離の差分を見て不正なアクセスかどうかを見分ける手法と併用されています。
主に、米国、ヨーロッパ、韓国を中心に、オンラインゲームの認証や、カード決済で額が大きい買い物についての本人確認として使われ始めて、今に至ります。
インターネットとは別の系統での認証を設けることで、セキュリティ強度はぐんと増します。
Re: (スコア:0)
登録はしていません。サービス提供のために必要でないものまで提供するのは御免です。
>1については、Facebookで電話番号を変更しようとすると、メールで通知が来ます。
>それが、自分が行った操作でない場合は、ロールバック(その操作の無効化)が出来ます。
だから?それなら先に乗っ取り犯は電話番号より先にメアド変更すればいいだけですね。
で、メールアドレスと電話番号両方同時に変更する人もいる(ケータイのアドレス仕様でキャリア変更など)
ので、両方同時に変更できないならそれもそれで欠陥でしかない。
>認証に使うチャネルをインターネットとは別系統のものにすることで、セキュリティを強化することが狙いです。
1で先に電話番号変更してれば無意味ですよね。 また、同じ地域からのアクセスに関しても。
アクセス時に毎回発呼して、着信確認までしてれば別でしょうが、登録や変更時程度の発呼では1の問題は一切解決されません。
オンラインゲームはやりませんが、カード決済で、買い物時に送られてきたことなんかありませんが。
Re:電話番号登録が何のセキュリティ対策にもならない事を証明する。 (スコア:2)
メールアドレスの変更についても、電話番号同様に確認通知がSMSで入ります。
カード決済に際して、電話確認が入るかどうかは、カード会社に依ります。
もし、この仕組に欠陥があるということを証明されたいのであれば、実際に使ってみて検証されてから、具体的な事項で指摘されては如何でしょうか?
使ってみてもいないのに、想像で論理を展開されても、何の証明にもならないと思います。
Re: (スコア:0)
>メールアドレスの変更についても、電話番号同様に確認通知がSMSで入ります。
ですから、それだと「両方同時に変更が必要なときに問題」でしかない。
そこまで書いたはずですが。
乗っ取り犯としては、メアド、電話 同時に変更すればいいだけです。
どちらか片方しか変更しない前提であなたが話している時点で反論にすらならないんですよ。
本来の利用者がメアド、電話番号同時に変更したら、どうするのか。
それが出来ないのならば(必ずどちらか古いものを保持してなければいけない)、本来の利用者からは欠陥でしかない。
Re: (スコア:0)
そもそもログインするのに登録した電話番号の端末が必要なので、その端末自体を盗まないと、そもそも電話番号変更も出来ませんよ。