アカウント名:
パスワード:
社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。
しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、
ハック対象の人になりすましてSIMカードを無くしたと携帯電話会社に言って新しい正規のSIMを発行させて奪うという方法も最近ありましたね。こちらだと物理的に近づく必要すらないので(暗証番号とかの問題はありますが)、SMSや電話でパスワードリセットができるサービスのセキュリティは電話会社のソーシャルハッキングに対するセキュリティより高くならないことになります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
Google アカウント等は2段階認証を有効にするとかえって脆弱になることも(ソーシャルハッキング) (スコア:4, 参考になる)
社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。
しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、
Re:Google アカウント等は2段階認証を有効にするとかえって脆弱になることも(ソーシャルハッキ (スコア:0)
ハック対象の人になりすましてSIMカードを無くしたと携帯電話会社に言って新しい正規のSIMを発行させて奪うという方法も最近ありましたね。
こちらだと物理的に近づく必要すらないので(暗証番号とかの問題はありますが)、SMSや電話でパスワードリセットができるサービスのセキュリティは電話会社のソーシャルハッキングに対するセキュリティより高くならないことになります。